El malware TeaBot dice a las víctimas que tienen que hacer clic en un enlace porque el teléfono está dañado por un virus, y así procede a infectar el dispositivo. Los ciberdelincuentes están utilizando versiones falsas de aplicaciones populares de Android para infectar a las víctimas con un troyano malicioso, que sólo se instala después de que el usuario descargue un falso bloqueador de anuncios o un “antivirus”.

TeaBot -también conocido como Anatsa- es capaz de tomar el control remoto total de los dispositivos Android, lo que permite a los ciberdelincuentes robar datos bancarios y otra información sensible con la ayuda del keylogging y el robo de códigos de autenticación.

Según detallan los investigadores de ciberseguridad de Bitdefender, se trata de versiones falsas de aplicaciones para Android, como aplicaciones antivirus, el reproductor multimedia de código abierto VLC o reproductores de audiolibros, entre otras. Las versiones maliciosas de las aplicaciones utilizan nombres y logotipos ligeramente diferentes a los reales.

TeaBot, el nuevo peligro informático

Las aplicaciones maliciosas no se distribuyen a través de la tienda oficial Google Play Store, sino que se alojan en sitios web de terceros, aunque muchas de las formas en que los usuarios son dirigidos a ellas siguen siendo un misterio para los investigadores.

Una de las maneras en que las víctimas son conducidas hacia las aplicaciones maliciosas es a través de una aplicación falsa de bloqueo de anuncios que actúa como un gotero, aunque se desconoce cómo se dirige a las víctimas hacia el bloqueador de anuncios en primer lugar.

El falso bloqueador de anuncios no tiene ninguna funcionalidad real. Sino que pide permisos para mostrarse sobre otras aplicaciones, mostrar notificaciones e instalar aplicaciones desde fuera de Google Play; se trata de aplicaciones falsas que se ocultan una vez instaladas.

Sin embargo, estas aplicaciones ocultas mostrarán repetidamente anuncios falsos, a menudo afirmando que el smartphone ha sido dañado por una aplicación maliciosa. Estas publicidades animan al usuario a hacer clic en un enlace para la solución. Al hacerlo se descarga TeaBot en el dispositivo.

El método de infección parece enrevesado, pero el hecho de dividirlo en varios pasos hace menos probable que puedas detectar el malware.

TeaBot parece concentrar gran parte de sus objetivos en Europa Occidental, siendo España e Italia los lugares más habituales de los ataques. La campaña sigue activa y, aunque muchos de los métodos de distribución fuera del falso Ad Blocker siguen siendo desconocidos. Hay precauciones que los usuarios pueden tomar para evitar ser víctimas.

Cómo detener el malware en tu teléfono Android

Tanto si crees que ya tienes malware en tu dispositivo Android como si sólo quieres protegerte, hay pasos claros que puedes seguir.

En primer lugar, mantén el software de tu teléfono actualizado. Los expertos en seguridad consideran constantemente que un sistema operativo actual y aplicaciones actualizadas son uno de los pasos más importantes que los usuarios pueden dar para proteger sus dispositivos y cuentas. Si ya tienes software malicioso en tu teléfono, las actualizaciones de software del fabricante -por ejemplo, Android 10 o el próximo Android 11- pueden parchear las vulnerabilidades y cortar el acceso del que disfrutaba el software malicioso. Las actualizaciones también pueden evitar que el malware funcione en primer lugar.

A continuación, revisa qué permisos tienen tus aplicaciones. ¿Necesita realmente un juego la capacidad de enviar mensajes SMS? Probablemente no sea necesario y podría ser una señal de alarma.

Eliminar las aplicaciones que crees que son maliciosas puede ser complicado. A veces, basta con eliminar los permisos de la aplicación, borrarla y acabar con ella. Otras aplicaciones maliciosas se dan a sí mismas privilegios de administrador, por lo que no se pueden eliminar sin más. Si tienes problemas para eliminar una aplicación específica, puedes intentar buscarla en Internet para saber qué le ha funcionado a otras personas.

Por último, puedes deshacerte o evitar las aplicaciones de Android descargadas de tiendas de aplicaciones de terceros. Estas aplicaciones no pasan por la revisión de Google y pueden colar más fácilmente software malicioso en tu teléfono. Google no lo detecta todo antes de que llegue a tu teléfono, como demuestran los informes sobre aplicaciones Android maliciosas que se han eliminado, pero ceñirse a la tienda oficial Google Play Store -y tener una salida directa para informar de los problemas que encuentres- es otra línea de defensa.