Descoberto em maio do ano passado, o trojan TeaBot está de volta e, desta vez, conta com uma nova forma de atacar. O software malicioso foi encontrado na Play Store da Google sob a forma de uma nova aplicação que foi descarregada mais de 10.000 vezes.

Segundo os especialistas da Cleafy, à primeira vista, a aplicação parece ser um simples leitor de códigos QR e códigos de barras, com as reviews a descreverem-na como legítima. No entanto, a QR Code & Barcode Scanner apresenta-se como o primeiro passo da cadeia de infeção, funcionando como um dropper.

Clique nas imagens para mais detalhes

Os investigadores indicam que, ao ser descarregada, surge uma mensagem popup que pede à vítima que faça uma atualização. Durante este processo, é pedida permissão para instalar uma segunda aplicação chamada QR Code Scanner: Add-On, que contém o trojan TeaBot.

Ao instalar a segunda aplicação, que é descarregada a partir de dois repositórios do GitHub, o software malicioso tenta obter um conjunto de permissões que incluem ver e controlar o ecrã, para conseguir recolher informação sensível, assim como monitorizar o que é feito pelo utilizador e interagir com outras aplicações.

A Cleafy explica que uma das maiores diferenças da versão atual do TeaBot, em relação com as amostras descobertas em maio de 2021, é o aumento de aplicações que estão na sua “mira”, que registou um crescimento de mais de 500% em menos de um ano. Aqui incluem-se aplicações de homebanking, seguros, assim como carteiras de criptomoedas.

Além disso, ao longo dos últimos meses, o software malicioso ganhou suporte a mais línguas, encontrando formas cada vez mais sofisticadas de não ser detetado pelas soluções anti-malware disponíveis no mercado.

Ao que tudo indica, a QR Code & Barcode Scanner parece já ter sido removida da Play Store. Porém, se a tem instalada no seu smartphone deve removê-la imediatamente, analisar o equipamento com uma solução de segurança e, caso seja necessário, fazer um reset ao mesmo.