¿Cómo eliminar el malware TeaBot de su dispositivo Android?
Escrito por Tomas Meskauskas el (actualizado)
¿Qué tipo de malware es TeaBot?
TeaBot es un trozo de software malicioso categorizado como un troyano bancario con capacidades de RAT (herramienta de acceso remoto/troyano). Este malware se dirige a los sistemas operativos Android.
Su funcionalidad principal es la extracción de información relacionada con la banca online. En el momento de la investigación, su lista de objetivos incluía más de sesenta bancos europeos.
TeaBot también opera como una RAT. Por lo tanto, puede permitir el acceso y el control remotos de los dispositivos infectados. Los programas maliciosos de este tipo pueden permitir un control casi ilimitado sobre las máquinas comprometidas.
TeaBot en detalle
Al igual que muchas RATs específicas de Android, TeaBot utiliza los Servicios de Accesibilidad para controlar los dispositivos. Estos servicios están diseñados para ayudar a los usuarios que requieren ayuda adicional para leer e interactuar con sus dispositivos.
Por lo tanto, los Servicios de Accesibilidad de Android tienen acceso a lo que se muestra en la pantalla y pueden simular la pantalla táctil. Si los Servicios de Accesibilidad no están habilitados, el malware bombardea a los usuarios con ventanas emergentes que solicitan permisos para estos servicios.
Una vez que se otorgan los permisos, TeaBot puede usar los Servicios de Accesibilidad para otorgarse acceso adicional sin la interferencia del usuario (mediante la simulación de gestos y toques/clics). TeaBot tiene muchas funcionalidades atroces.
Como se mencionó en la introducción, este troyano puede obtener información superponiendo la pantalla con ventanas de inicio de sesión falsas de ciertas aplicaciones bancarias. Además, se dirige a aplicaciones de seguros, billeteras criptográficas e intercambios criptográficos.
Por lo tanto, el malware puede robar credenciales de inicio de sesión (es decir, ID, direcciones de email, nombres de usuario y contraseñas), así como números de tarjetas de crédito, a través de estas pantallas fraudulentas. TeaBot también puede usar sus capacidades de registro de teclas (es decir, grabación de pulsaciones de teclas) para adquirir esta información incluso cuando los usuarios inician sesión o interactúan con páginas web y aplicaciones originales.
Las cuentas bancarias online no son los únicos servicios de interés, el programa malicioso puede robar las credenciales de inicio de sesión de otras cuentas/plataformas a través de la configuración de Android y los códigos 2FA de autenticación de Google.
Otras características notables de TeaBot incluyen (pero no se limitan a): tomar capturas de pantalla, ocultar, interceptar y enviar mensajes de texto (SMS), el uso de modalidades biométricas compatibles con dispositivos, alterar la configuración de audio (por ejemplo, silenciar el dispositivo), deshabilitar Google Protect, eliminando aplicaciones instaladas.
En resumen, las infecciones por TeaBot pueden provocar graves problemas de privacidad, importantes pérdidas económicas e incluso el robo de identidad. Si se sabe/sospecha que TeaBot (u otro malware) ya ha infectado el sistema, se debe usar un antivirus para eliminarlo de inmediato.
| Nombre | Troyano TeaBot |
| Tipo de Amenaza | Android malware, aplicación maliciosa, aplicación no deseada. |
| Nombres de Detección (disfrazado de TeaTV) | Avast-Mobile (Android:Evo-gen [Trj]), BitDefenderFalx (Android.Trojan.Banker.ST), ESET-NOD32 (una Variante de Android/TrojanDropper.Agent.G), Kaspersky (HEUR:Trojan-Banker.AndroidOS.Regon.p), Lista Completa (VirusTotal) |
| Nombres de Detección (disfrazado de VLC Media Player) | Avast-Mobile (Android:Evo-gen [Trj]), BitDefenderFalx (Android.Trojan.Banker.TQ), ESET-NOD32 (una Variante de Android/TrojanDropper.Agent.HOG), Kaspersky (HEUR:Trojan-Banker.AndroidOS.Regon.p), Lista Completa (VirusTotal) |
| Síntomas | El dispositivo funciona lentamente, la configuración del sistema se modifica sin el permiso del usuario, aparecen aplicaciones cuestionables, el uso de datos y batería aumenta significativamente, los navegadores redirigen a páginas web cuestionables, se muestran anuncios intrusivos. |
| Métodos de Distribución | Archivos adjuntos de email infectados, anuncios maliciosos online, ingeniería social, aplicaciones engañosas, sitios web fraudulentos. |
| Daño | Información personal robada (mensajes privados, inicios de sesión/contraseñas, etc.), disminución del rendimiento del dispositivo, batería que se agota rápidamente, disminución de la velocidad de Internet, grandes pérdidas de datos, pérdidas monetarias, robo de identidad (las aplicaciones maliciosas pueden abusar de las aplicaciones de comunicación). |
| Eliminación de Malware (Android) | Para eliminar las infecciones de malware, nuestros investigadores de seguridad recomiendan analizar su dispositivo Android con software anti-malware legítimo. Nosotros recomendamos Avast, Bitdefender, ESET o Malwarebytes. |
Más ejemplos de malware para Android
Ghimob, AlienBot Banker, MRAT y ThiefBot son algunos ejemplos de malware dirigido a Android. Los programas maliciosos pueden tener una amplia gama de funcionalidades, que pueden estar en diferentes combinaciones.
Para resumir, el malware puede: habilitar el acceso/control remoto sobre dispositivos, filtrar (descargar) contenido almacenado en el sistema, extraer información de navegadores y otras aplicaciones instaladas, grabar pulsaciones de teclas y/o audio/video a través de micrófonos y cámaras, infiltrarse (cargar) y ejecutar archivos (es decir, instalar software malicioso adicional), encriptar datos y/o bloquear la pantalla del dispositivo con fines de rescate (ransomware), etc.
Independientemente de cómo opere el malware, sus infecciones ponen en peligro la seguridad del dispositivo y del usuario.
¿Cómo se infiltró TeaBot en mi dispositivo?
Se ha observado que TeaBot se distribuye y oculta en dispositivos bajo la apariencia de aplicaciones, como TeaTV, VLC Media Player, servicios de envío/entrega de DHL y UPS, etc. Los programas maliciosos a menudo se presentan como software/medios legítimos o se combinan con ellos.
Recientemente, se ha descubierto otra aplicación llamada "QR Code & Barcode - Scanner" - Escáner que funciona como cuentagotas de TeaBot. Esta aplicación se encontró en la tienda oficial de Google Play. Distribuye TeaBot utilizando un procedimiento de actualización de software falso.
Por lo general, se propagan a través de fuentes de descarga no confiables, por ejemplo, páginas web no oficiales y gratuitas, redes de intercambio punto a punto y otros descargadores de terceros. Las herramientas de activación ilegal ("cracks") y las actualizaciones falsas son ejemplos notables de contenido que prolifera con malware. Las herramientas de "craqueo" pueden infectar sistemas en lugar de activar programas con licencia.
Mientras que los actualizadores falsos causan infecciones al explotar las debilidades del software obsoleto y/o al instalar malware en lugar de las actualizaciones prometidas. Las campañas de spam también se utilizan para distribuir malware.
Este término se utiliza para describir una operación a gran escala durante la cual se envían miles de emails engañosos/fraudulentos. Estas emails contienen enlaces de descarga de archivos infecciosos y/o los archivos se adjuntan a los emails.
Los archivos virulentos pueden estar en varios formatos, por ejemplo, archivos (ZIP, RAR, etc.), ejecutables (.exe, .run, etc.), documentos de Microsoft Office y PDF, JavaScript, etc. Cuando los archivos se ejecutan, ejecutan o abren de otro modo, se inicia el proceso de infección.
¿Cómo evitar la instalación de malware?
Se recomienda enfáticamente investigar el software antes de descargarlo/instalarlo y/o comprarlo. Además, solo se deben utilizar canales de descarga oficiales y verificados.
Es igualmente importante activar y actualizar los programas con herramientas/funciones proporcionadas por desarrolladores legítimos. Para evitar infectar el dispositivo a través de spam, se recomienda no abrir emails dudosos e irrelevantes, especialmente cualquier enlace o archivo adjunto que se encuentre en ellos.
Es fundamental tener instalado y actualizado un paquete antivirus/antispyware de buena reputación. Además, este software debe usarse para realizar análisis regulares del sistema y eliminar amenazas y problemas detectados.
Captura de pantalla de TeaBot haciéndose pasar por "QR Code & Barcode - Scanner" en Google Play:
Menú rápido:
- Introducción
- ¿Cómo eliminar el historial de navegación del navegador web Chrome?
- ¿Cómo deshabilitar las notificaciones del navegador en el navegador web Chrome?
- ¿Cómo restablecer el navegador web Chrome?
- ¿Cómo eliminar el historial de navegación del navegador web Firefox?
- ¿Cómo deshabilitar las notificaciones del navegador en el navegador web Firefox?
- ¿Cómo reiniciar el navegador web Firefox?
- ¿Cómo desinstalar aplicaciones potencialmente no deseadas y/o maliciosas?
- ¿Cómo arrancar el dispositivo Android en "Modo Seguro"?
- ¿Cómo comprobar el uso de la batería de las aplicaciones?
- ¿Cómo verificar el uso de datos de las aplicaciones?
- ¿Cómo instalar las últimas actualizaciones de software?
- ¿Cómo restablecer el sistema a su estado predeterminado?
- ¿Cómo deshabilitar aplicaciones que tienen privilegios de administrador?
Elimina el historial de navegación del navegador web Chrome:
Toque el botón "Menú" (tres puntos en la esquina superior derecha de la pantalla) y seleccione "Historial" en el menú desplegable abierto.
Toque "Borrar datos de navegación", seleccione la pestaña "AVANZADO", elija el rango de tiempo y los tipos de datos que desea eliminar y toque "Borrar datos".
Desactive las notificaciones del navegador en el navegador web Chrome:
Toque el botón "Menú" (tres puntos en la esquina superior derecha de la pantalla) y seleccione "Configuración" en el menú desplegable abierto.
Desplácese hacia abajo hasta que vea la opción "Configuración del sitio" y tóquela. Desplácese hacia abajo hasta que vea la opción "Notificaciones" y tóquela.
Busque los sitios web que envían notificaciones del navegador, tóquelos y haga clic en "Borrar y restablecer". Esto eliminará los permisos otorgados a estos sitios web para enviar notificaciones. Sin embargo, una vez que visite el mismo sitio nuevamente, es posible que solicite un permiso nuevamente. Puede elegir si desea otorgar estos permisos o no (si elige rechazar el sitio web irá a la sección "Bloqueado" y ya no le pedirá el permiso).
Restablezca el navegador web Chrome:
Vaya a "Configuración", baje hasta que vea "Aplicaciones" y tóquelo.
Desplácese hacia abajo hasta encontrar la aplicación "Chrome", selecciónela y toque la opción "Almacenamiento".
Toque "ADMINISTRAR ALMACENAMIENTO", luego "BORRAR TODOS LOS DATOS" y confirme la acción presionando "Aceptar". Tenga en cuenta que reiniciar el navegador eliminará todos los datos almacenados en él. Esto significa que se eliminarán todos los inicios de sesión/contraseñas, el historial de navegación, las configuraciones no predeterminadas y otros datos guardados. También tendrá que volver a iniciar sesión en todos los sitios web.
Elimina el historial de navegación del navegador web Firefox:
Toque el botón "Menú" (tres puntos en la esquina superior derecha de la pantalla) y seleccione "Historial" en el menú desplegable abierto.
Desplácese hacia abajo hasta que vea "Borrar datos privados" y tóquelo. Seleccione los tipos de datos que desea eliminar y toque "BORRAR DATOS".
Desactive las notificaciones del navegador en el navegador web Firefox:
Visite el sitio web que envía notificaciones del navegador, toque el icono que se muestra a la izquierda de la barra de URL (el icono no será necesariamente un "candado") y seleccione "Editar configuración del sitio".
En la ventana emergente abierta, opte por la opción "Notificaciones" y toque "BORRAR".
Reinicie el navegador web Firefox:
Vaya a "Configuración", baje hasta que vea "Aplicaciones" y tóquelo.
Desplácese hacia abajo hasta encontrar la aplicación "Firefox", selecciónela y toque la opción "Almacenamiento".
Toque "BORRAR DATOS" y confirme la acción grabando "BORRAR". Tenga en cuenta que reiniciar el navegador eliminará todos los datos almacenados en él. Esto significa que se eliminarán todos los inicios de sesión/contraseñas, el historial de navegación, las configuraciones no predeterminadas y otros datos guardados. También tendrá que volver a iniciar sesión en todos los sitios web.
Desinstale aplicaciones potencialmente no deseadas y/o maliciosas:
Vaya a "Configuración", baje hasta que vea "Aplicaciones" y tóquelo.
Desplácese hacia abajo hasta que vea una aplicación potencialmente no deseada o maliciosa, selecciónela y toque "Desinstalar". Si, por alguna razón, no puede eliminar la aplicación seleccionada (como por ejemplo, aparece un mensaje de error), debe intentar utilizar el "Modo Seguro".
Inicie el dispositivo Android en "Modo Seguro":
El "Modo Seguro" en el sistema operativo Android desactiva temporalmente la ejecución de todas las aplicaciones de terceros. El uso de este modo es una buena manera de diagnosticar y resolver varios problemas (por ejemplo, eliminar aplicaciones maliciosas que impiden que los usuarios lo hagan cuando el dispositivo está funcionando "normalmente").
Presione el botón "Encendido" y manténgalo presionado hasta que vea la pantalla "Apagar". Toque el icono "Apagar" y manténgalo presionado. Después de unos segundos, aparecerá la opción "Modo Seguro" y podrá ejecutarla reiniciando el dispositivo.
Verifique el uso de la batería de las aplicaciones:
Vaya a "Configuración", baje hasta que vea "Mantenimiento del dispositivo" y tóquelo.
Toque "Batería" y verifique el uso de cada aplicación. Las aplicaciones legítimas/genuinas están diseñadas para usar la menor cantidad de energía posible, brindando la mejor experiencia de usuario y ahorrar energía. Por lo tanto, un uso elevado de la batería puede indicar que la aplicación es maliciosa.
Verifique el uso de datos de las aplicaciones:
Vaya a "Configuración", baje hasta que vea "Conexiones" y tóquelo.
Desplácese hacia abajo hasta que vea "Uso de datos" y seleccione esta opción. Al igual que con la batería, las aplicaciones legítimas/genuinas están diseñadas para minimizar el uso de datos tanto como sea posible. Esto significa que un gran uso de datos puede indicar la presencia de aplicaciones maliciosas. Tenga en cuenta que algunas aplicaciones maliciosas pueden estar diseñadas para funcionar cuando el dispositivo está conectado únicamente a una red inalámbrica. Por esta razón, debe verificar el uso de datos móviles y Wi-Fi.
Si encuentra una aplicación que usa una gran cantidad de datos a pesar de que nunca la usa, le recomendamos encarecidamente que la desinstale lo antes posible.
Instale las últimas actualizaciones de software:
Mantener el software actualizado es una buena práctica en lo que respecta a la seguridad del dispositivo. Los fabricantes de dispositivos lanzan continuamente varios parches de seguridad y actualizaciones de Android para corregir errores y errores de los que pueden abusar los ciberdelincuentes. Un sistema desactualizado es mucho más vulnerable, por lo que siempre debe asegurarse de que el software de su dispositivo esté actualizado.
Vaya a "Configuración", baje hasta que vea "Actualización de software" y tóquelo.
Toca "Descargar actualizaciones manualmente" y comprueba si hay actualizaciones disponibles. Si es así, instálelos inmediatamente. También recomendamos habilitar la opción "Descargar actualizaciones automáticamente": permitirá que el sistema le notifique una vez que se publique una actualización y/o la instale automáticamente.
Restablezca el sistema a su estado predeterminado:
Realizar un "Restablecimiento de fábrica" es una buena manera de eliminar todas las PUAs, restaurar la configuración del sistema a los valores predeterminados y limpiar el dispositivo en general. Sin embargo, debe tener en cuenta que se eliminarán todos los datos dentro del dispositivo, incluidas fotos, archivos de video/audio, números de teléfono (almacenados en el dispositivo, no en la tarjeta SIM), mensajes SMS, etc. En otras palabras, el dispositivo se restaurará a su estado original.
También puede restaurar la configuración básica del sistema y/o simplemente la configuración de red.
Vaya a "Configuración", baje hasta que vea "Acerca del teléfono" y tóquelo.
Desplácese hacia abajo hasta que vea "Restablecer" y tóquelo. Ahora elija la acción que desea realizar:
"Restablecer configuración": restablece todas las configuraciones del sistema a sus valores predeterminados.
"Restablecer configuración de red": restablece todas las configuraciones relacionadas con la red a sus valores predeterminados.
"Restablecimiento de datos de fábrica": restablece todo el sistema y elimina por completo todos los datos almacenados.
Deshabilite las aplicaciones que tienen privilegios de administrador:
Si una aplicación malintencionada obtiene privilegios de administrador, puede dañar gravemente el sistema. Para mantener el dispositivo lo más seguro posible, siempre debe verificar qué aplicaciones tienen tales privilegios y deshabilitar las que no deberían.
Vaya a "Configuración", baje hasta que vea "Pantalla de bloqueo y seguridad" y tóquelo.
Desplácese hacia abajo hasta que vea "Otras configuraciones de seguridad", tóquelo y luego toque "Aplicaciones de administración del dispositivo".
Identifique las aplicaciones que no deberían tener privilegios de administrador, tóquelas y luego toque "DESACTIVAR".
Preguntas Frecuentes (FAQ)
¿Cuáles son los mayores problemas que puede causar el malware?
En la mayoría de los casos, los mayores problemas causados por el malware incluyen pérdidas financieras, encriptado de datos, robo de identidad e infecciones adicionales. Depende del tipo de malware.
¿Cuál es el propósito del malware TeaBot?
TeaBot roba las credenciales de la víctima (por ejemplo, ID, direcciones de email, nombres de usuario, contraseñas) y mensajes SMS. Se dirige a aplicaciones bancarias, billeteras criptográficas, aplicaciones de seguros.
¿Cómo se infiltró TeaBot en mi dispositivo Android?
Inicialmente, el malware TeaBot se distribuía mediante aplicaciones llamadas TeaTV, VLC Media Player, DHL y UPS, entre otras. Hemos descubierto que TeaBot se hace pasar por "QR Code & Barcode - Scanner" en Google Play Store durante nuestra última investigación. La cadena de infección comienza después de descargar y ejecutar una aplicación maliciosa.
¿Me protegerá Combo Cleaner del malware?
Sí, Combo Cleaner puede escanear, detectar y eliminar casi todo el malware conocido. Es importante mencionar que el malware de alta gama puede estar oculto en lo más profundo del sistema operativo. Por lo tanto, es necesario escanear el sistema utilizando la función de escaneo completo.
¡Excelente!
▼ Mostrar discusión.