O TeaBot é conhecido como um Trojan bancário, e foi de novo visto na Playstore desta vez numa aplicação de scanning de códigos QR, tendo-se já espalhado para milhares de dispositivos.

Como funciona

A aplicação denomina-se "QR Code & Barcode – Scanner", e aquando da instalação pede uma atualização com um popup, algo contrário ao que costuma acontecer sempre que instalamos algo pela PlayStore. Ou seja, a atualização vem de uma fonte externa.

Assim que a vítima instala a atualização dessas fontes externas, o malware é carregado com uma nova aplicação - "QR Code Scanner: Add-On".

Permissões pedidas

- Ver o ecrã e tirar screenshots que exponham credenciais, códigos de 2FA e mensagens

- Desencadear ações como permissões adicionais de autorização automática em background sem requerer interação do utilizador

Minimizar o risco de infeção

Manter o número de aplicações instaladas no mínimo

- Assim que instalar uma aplicação, monitorize durante algum tempo o consumo de bateria e volume de tráfego dessa mesma aplicação e tente avaliar algum padrão anómalo

Mais informações: https://thehackernews.com/2022/03/teabot-android-banking-malware-spreads.html