TeaBot en Android: cómo actúa este troyano bancario y cómo proteger tus datos

  • TeaBot es un troyano bancario con capacidades de acceso remoto que se dirige a móviles Android para robar credenciales, SMS y controlar el dispositivo.
  • Se propaga mediante SMS fraudulentos, apps maliciosas en Google Play y APKs de terceros que se hacen pasar por herramientas legítimas como lectores de códigos QR o apps de mensajería.
  • Abusa de los servicios de accesibilidad para superponer pantallas falsas sobre apps bancarias, registrar teclas, interceptar códigos 2FA y ejecutar transacciones fraudulentas.
  • La mejor defensa es evitar APKs de terceros, revisar permisos sensibles, mantener Android y Google Play Protect actualizados y usar soluciones de seguridad de confianza.
Christian RuízActualizado el

4 minutos

malware Teabot Android datos bancarios

Cada cierto tiempo, los hackers nos dan una alegría en forma de troyano para que nos tengamos que preocupar por nuestros datos personales. Casi nunca se trata de un pequeño virus para meternos algo de publicidad, sino que ellos van a lo grande. El malware de TeaBot, también conocido como Anatsa, ReBot o Toddler, es una de las mayores preocupaciones de los usuarios de Android, ya que ataca directamente a los datos bancarios y a otras apps financieras y de criptomonedas.

Lo que es más preocupante es la tendencia, ya que en los últimos tiempos han surgido demasiados malwares dirigidos a Android, superando la media de lo normal. System Update, Flubot, WhatsApp Rosa, BRATA o Joker son algunos de los que los investigadores de ciberseguridad han descubierto y que comparten técnicas con TeaBot para engañar a los usuarios y tomar el control del móvil.

¿Qué es TeaBot y por qué es tan peligroso?

troyano bancario Teabot Android

Para ser claros y concisos, TeaBot es un troyano bancario con capacidades de RAT (herramienta de acceso remoto) que afecta solo a Android y que fue descubierto inicialmente por Cleafy, empresa de ciberseguridad. Como cuentan en su informe, TeaBot es un malware bancario que trata de robar las credenciales de las víctimas y los mensajes SMS para poder acceder a los datos del banco y realizar operaciones en su nombre.

En términos técnicos, TeaBot / Anatsa es capaz de tomar el control casi total del dispositivo, integrarlo en una botnet y utilizarlo no solo para robar dinero, sino también para ejecutar otras actividades maliciosas distribuidas (por ejemplo, propagación de más malware o uso del móvil en campañas de fraude).

Su funcionalidad principal se centra en la extracción de información de banca online, pero su lista de objetivos ha crecido con el tiempo: empezó centrándose en decenas de bancos europeos y ya apunta a cientos de entidades financieras, aseguradoras, billeteras de criptomonedas, exchanges y otras apps relacionadas con el dinero.

Además de robar credenciales, TeaBot actúa como una RAT completa: permite acceso remoto y automatización sobre el dispositivo infectado, de forma que los atacantes pueden realizar transacciones, aprobar permisos o instalar más malware sin que el usuario toque la pantalla.

Así funciona este troyano bancario en Android

funcionamiento malware Teabot Android

TeaBot combina varias técnicas para conseguir tres objetivos clave: infectar el móvil, obtener permisos peligrosos y robar o manipular datos bancarios sin levantar sospechas. El proceso puede variar entre campañas, pero suele seguir una estructura muy similar.

1. Infección inicial y canales de distribución

En sus primeras campañas, TeaBot se distribuía sobre todo a través de SMS fraudulentos que simulaban ser mensajes de empresas de mensajería o paquetería (DHL, UPS, MRW, Correos, FedEx, etc.). El texto suele avisar de que hay un paquete pendiente de entrega e incluye un enlace a una supuesta app de seguimiento.

Al pulsar en el enlace que viene en el mensaje de texto, se nos abre una página web muy similar a la de MRW, DHL o la empresa que se suplanta, y nos solicita que instalemos una aplicación desde fuera de la Play Store para hacer el seguimiento de nuestro paquete. Esa app en realidad contiene el troyano TeaBot o un componente que lo descargará más tarde.

Con el tiempo, los atacantes han ampliado sus métodos y hoy en día TeaBot infecta dispositivos principalmente de estas formas:

  • Aplicaciones maliciosas en Google Play disfrazadas de herramientas legítimas (lectores de documentos, visores de PDF, escáneres de códigos QR, reproductores multimedia, etc.).
  • APKs de terceros descargados desde webs fraudulentas, enlaces en SMS o correos de phishing.
  • Campañas de spam por email con adjuntos infectados o enlaces a descargas maliciosas.
  • Anuncios maliciosos online que redirigen a páginas de descarga de supuestas apps útiles.

Uno de los casos más llamativos fue la app QR Code & Barcode Scanner, que estuvo disponible en Google Play y fue descargada por miles de usuarios. La aplicación ofrecía un lector de códigos QR totalmente funcional, con buenas valoraciones, pero al abrirse por primera vez pedía permiso para actualizarse fuera de la tienda de Google.

Si el usuario aceptaba, en lugar de usar el sistema de actualizaciones de Play Store, la app se conectaba a repositorios de GitHub controlados por los atacantes para descargar el código malicioso de TeaBot. De esta manera, eludía los controles previos de Play Store y se convertía en un dropper (aplicación lanzadera) del troyano.

2. Abuso de los servicios de accesibilidad

Una vez TeaBot está instalado en el móvil de la víctima, su siguiente objetivo es conseguir el permiso de accesibilidad. Este permiso está pensado para ayudar a usuarios con dificultades visuales o de interacción, pero en manos de un malware es extremadamente peligroso porque permite un control casi completo sobre el dispositivo.

TeaBot bombardea al usuario con ventanas emergentes que parecen legítimas, solicitando habilitar estos servicios. Si el usuario acepta, los atacantes pueden ver y controlar de forma remota la pantalla, simular toques, desplazarse por menús y pulsar botones como si tuvieran el móvil en la mano.

Gracias a este permiso, TeaBot es capaz de:

  • Leer lo que se muestra en pantalla, incluyendo credenciales, códigos de verificación o mensajes privados.
  • Simular pulsaciones para aceptar permisos, aprobar transacciones o desactivar medidas de seguridad.
  • Otorgarse nuevos permisos sin intervención del usuario, ampliando aún más su control.

3. Técnicas de robo de datos bancarios

Cuando TeaBot tiene ya los permisos de accesibilidad y otros privilegios, empieza la parte más peligrosa: el robo de credenciales y datos financieros. Para lograrlo, combina varias técnicas avanzadas:

  • Superposición de pantallas falsas: cuando abres tu app bancaria o de criptomonedas, TeaBot muestra una pantalla casi idéntica por encima. Introduces usuario y contraseña creyendo que estás en la app real, pero en realidad las estás dando directamente al troyano.
  • Keylogging: registra las pulsaciones de teclas que realizas, por ejemplo al escribir contraseñas, PIN o datos de tarjetas.
  • Capturas de pantalla y grabación de actividad: puede tomar imágenes de la pantalla en momentos clave para capturar información visual que no pasa por texto.
  • Intercepción de comunicaciones: intercepta mensajes SMS y notificaciones, incluyendo los códigos de autenticación de dos factores (2FA) que envían bancos y servicios como Google.
  • Manipulación de transacciones: mediante técnicas de tipo Man-in-the-Middle (MitM), TeaBot puede modificar transferencias, cambiar IBAN de destino o redirigir fondos sin que el usuario lo perciba.

Este nuevo malware bancario puede saltarse el sistema de revisión de malware de Google, llamado Google Play Protect, interceptar los mensajes SMS de verificación que nos envía nuestro banco e incluso acceder a los códigos de la doble autenticación de Google Authenticator. De esta forma, rompe una de las barreras de seguridad que muchos usuarios consideran definitivas.

4. Funciones avanzadas de RAT y control remoto

Más allá del robo de datos, TeaBot se comporta como una herramienta de acceso remoto muy completa. Una vez se instala en el móvil de la víctima, los atacantes pueden ver y controlar de forma remota la pantalla, gracias al permiso de accesibilidad. El resumen es que puede controlar prácticamente todo el móvil, y entre sus acciones más relevantes se encuentran:

  • Enviar e interceptar mensajes SMS.
  • Leer el estado del teléfono (llamadas, red, identificadores, etc.).
  • Modificar los ajustes de sonido para poner el teléfono en silencio y evitar que el usuario note notificaciones sospechosas.
  • Mostrar un pop-up sobre otras apps para que aceptemos permisos o credenciales.
  • Tomar capturas de pantalla y, en algunas variantes, grabar vídeo de la actividad.
  • Deshabilitar o interferir con Google Play Protect y algunas soluciones de seguridad.
  • Es capaz de borrar aplicaciones que le molestan, por ejemplo, antivirus.
  • Descargar y ejecutar cargas maliciosas adicionales desde servidores de mando y control (C2).

A nivel técnico, TeaBot es muy similar a Flubot. Ambos se apoyan en campañas de SMS y en abusar de los servicios de accesibilidad, pero TeaBot destaca por su combinación de capacidades bancarias y RAT avanzada, así como por sus técnicas para evitar la detección, como corrupción intencionada de encabezados ZIP en los APK o comprobación de si el dispositivo es un emulador de análisis.

5. Disfraces y aplicaciones suplantadas

A nivel técnico es muy similar a Flubot. TeaBot se esconde bajo el nombre de DHL, UPS, VLC MediaPlayer o Mobdro, es decir, se hace pasar por otras aplicaciones. Una vez que lo instalamos nos pide el permiso de accesibilidad y, cuando lo tiene, ya hemos caído en la trampa.

aplicaciones con malware teabot

Además de estas apps, se ha observado TeaBot disfrazado de:

  • TeaTV y variantes de reproductores multimedia.
  • QR Code & Barcode Scanner y otras herramientas de escaneo.
  • Apps de lectura de documentos y gestores de archivos (por ejemplo, «Document Reader- File Manager»).
  • Aplicaciones bancarias falsas que imitan los iconos de bancos reales.

Los ciberdelincuentes suelen imitar las apps mejor valoradas de Play Store para convencer a los usuarios de que descarguen sus versiones modificadas. Muchas de estas apps fraudulentas logran superar los filtros automatizados de Google Play y acumular miles de descargas antes de ser detectadas y retiradas.

Acciones que TeaBot puede ejecutar en tu móvil

permisos vlc malware teabot

Las capacidades de TeaBot son muy amplias y están orientadas a obtener beneficios económicos y mantener el control del dispositivo. Estas son algunas de las acciones que puede ejecutar:

  • Enviar e interceptar mensajes SMS, incluyendo códigos de verificación bancaria y 2FA.
  • Leer el estado del teléfono para conocer información del dispositivo y la red.
  • Modificar los ajustes de sonido para poner el teléfono en silencio y que no escuches alertas sospechosas.
  • Mostrar ventanas emergentes sobre otras apps para que aceptemos permisos o credenciales.
  • Borrar aplicaciones, especialmente herramientas de seguridad que puedan detectarlo.
  • Registrar pulsaciones de teclado para capturar contraseñas, PIN o datos sensibles.
  • Tomar capturas de pantalla cuando usamos apps bancarias, de correo o mensajería.
  • Ocultar, interceptar y enviar SMS sin que el usuario los vea en la bandeja de entrada.
  • Alterar la configuración del dispositivo (audio, notificaciones, permisos) para facilitar el fraude.
  • Deshabilitar Google Play Protect y evitar la instalación de algunos antivirus.
  • Descargar y ejecutar malware adicional desde sus servidores de mando y control.

Este nivel de control implica que las infecciones por TeaBot pueden provocar graves problemas de privacidad, pérdidas económicas importantes e incluso robo de identidad, ya que el troyano puede acceder a mensajes privados, contactos, correos y otras fuentes de información personal.

TeaBot frente a otros troyanos bancarios: Flubot, BRATA y compañía

TeaBot no está solo en el panorama de amenazas móviles. Existen otras familias de malware para Android que comparten técnicas y objetivos similares, y entender sus diferencias ayuda a comprender por qué TeaBot se ha convertido en una amenaza tan relevante.

FluBot

FluBot es un peligroso troyano bancario que afectó a varios usuarios de Android en Europa y que puede adaptarse a nueva regiones. Utiliza un enfoque muy parecido al de TeaBot:

  • Envía SMS falsos haciéndose pasar por empresas de mensajería (FedEx, DHL, Correos, MRW…).
  • Invita a descargar una app de seguimiento que, en realidad, contiene el malware FluBot.
  • Tras la instalación y concesión de permisos, es capaz de robar números de tarjetas de crédito, credenciales bancarias y espiar el dispositivo.
  • Deshabilita Google Play Protect y puede bloquear la instalación de algunas soluciones de seguridad.

FluBot y TeaBot comparten enfoque en el fraude bancario y en el uso de servicios de accesibilidad, pero TeaBot destaca por integrar también capacidades avanzadas de RAT, mecanismos anti-análisis y una lista de objetivos mucho más amplia (incluyendo criptomonedas y apps no estrictamente bancarias).

BRATA, Joker y otros malwares móviles

Además de Flubot, hay otras familias que conviene tener en el radar:

  • BRATA: troyano bancario que también abusa de accesibilidad, incorpora funciones de geolocalización y puede incluso borrar por completo el dispositivo una vez ha completado el fraude.
  • Joker y Harly: centrados en suscribir al usuario a servicios premium sin su consentimiento, además de robar mensajes SMS y contactos. Se han detectado en decenas de apps de Google Play.
  • AlienBot Banker, Ghimob, MRAT, ThiefBot: otras familias que se centran en control remoto, robo de credenciales y, en algunos casos, en instalar más malware como ransomware.

El denominador común es que todos ellos aprovechan alguna combinación de ingeniería social, descargas fuera de la tienda oficial o apps maliciosas en Google Play para colarse en el dispositivo y, una vez dentro, abusan de permisos críticos como accesibilidad, lectura de SMS o superposición de pantallas.

Evita descargar TeaBot, sobre todo si eres usuario de banca móvil en España y Europa

malware teabot gráfico

TeaBot está atacando por toda Europa, con España como una de las principales víctimas, seguida por Alemania, Italia, Bélgica y otros países. A lo largo de su evolución, también se han observado campañas en Norteamérica y otras regiones, lo que muestra que los atacantes no se limitan a un territorio concreto.

Los investigadores afirman que este troyano se encuentra en desarrollo continuo, aumentando el número de entidades objetivo y puliendo sus técnicas de evasión. Esa capacidad de evolución es incluso más preocupante que el hecho de que haya un malware circulando, porque significa que las defensas de hoy pueden no ser suficientes mañana.

Como mencionamos, o más bien como aseguran en esta empresa, se está cebando especialmente con España y con los bancos del país. Esto les facilita mucho más la tarea de acceder a datos bancarios de los usuarios y a su cuenta para hacer quién sabe qué con ese dinero. Entre los bancos y apps financieros a los que TeaBot ha apuntado o imitado se incluyen, entre otros:

  • Bankia Wallet (com.bankia.wallet)
  • BankinterMóvil (com.bankinter.launcher)
  • BBVA Spain | Online banking (com.bbva.bbvacontigo)
  • BBVA Net Cash (ES & PT com.bbva.netcash)
  • Kutxabank (com.kutxabank.android)
  • Santander (es.bancosantander.apps)
  • CaixaBankNow (es.lacaixa.mobile.android.newwapicon)
  • Banca Digital Liberbank (es.liberbank.cajasturapp)
  • Openbank – banca móvil (es.openbank.mobile)
  • UnicajaMovil (es.univia.unicajamovil)
  • BBVA México (BancomerMóvil) (com.bancomer.mbanking)
  • Banco Sabadell (net.inverline.bancosabadell.officelocator.android)
  • Commerzbank Banking (de.commerzbanking.mobil)
  • comdirect mobile App (de.comdirect.android)
  • Sparkasse (com.starfinanz.smob.android.sfinanzstatus)
  • Deutsche Bank Mobile (com.db.pwcc.dbmobile)
  • VR Banking Classic (de.fiducia.smartphone.android.banking.vr)
  • Cajasur (com.cajasur.android)
  • GrupoCajamar (com.grupocajamar.wefferent)
  • BW-Mobilbanking (com.starfinanz.smob.android.bwmobilbanking)
  • Ibercaja (es.ibercaja.ibercajaapp)
  • ING España. Banca Móvil (www.ingdirect.nativeframe)

Esta lista es solo un ejemplo y ha ido creciendo con el tiempo. Hoy en día, los análisis de compañías como Cleafy o ThreatLabz señalan que TeaBot / Anatsa ya tiene como objetivo a más de 800 instituciones financieras y plataformas de criptomonedas en todo el mundo, lo que lo convierte en una amenaza global para la banca móvil.

Síntomas de infección y consecuencias para tus datos bancarios

Detectar TeaBot a simple vista no siempre es sencillo, porque el malware intenta pasar desapercibido y, en muchas ocasiones, la app que lo contiene ofrece una funcionalidad aparentemente legítima. Aun así, hay algunas señales que pueden indicar que tu dispositivo está comprometido:

  • Rendimiento más lento de lo habitual sin causa aparente.
  • Mayor consumo de batería incluso cuando no estás usando mucho el teléfono.
  • Uso elevado de datos móviles o Wi-Fi por parte de apps que apenas empleas.
  • Aparición de aplicaciones desconocidas o que no recuerdas haber instalado.
  • Anuncios intrusivos o redirecciones a páginas web cuestionables.
  • Cambios en la configuración del sistema sin tu permiso.
  • Notificaciones de inicios de sesión sospechosos en cuentas bancarias o servicios online.
  • Mensajes SMS que desaparecen o no llegan a mostrarse en la bandeja de entrada.

Las consecuencias de una infección por TeaBot pueden ser muy graves:

  • Pérdida directa de dinero a través de transferencias fraudulentas.
  • Robo de información personal (mensajes privados, contactos, emails, documentos).
  • Robo de identidad utilizando tus datos para contratar servicios o realizar fraudes a tu nombre.
  • Compromiso de cuentas de criptomonedas y monederos digitales.
  • Posible uso de tu dispositivo como parte de una botnet para otros ataques.

Las soluciones son pocas si ya has pulsado sobre ese mensaje y has instalado la aplicación, más allá de tomar medidas drásticas en tu cuenta bancaria y ponerte en contacto con el banco. Si aún no te ha llegado esa situación, el arreglo es mucho más sencillo y pasa por prevenir la infección.

Cómo se infiltra TeaBot en tu dispositivo Android paso a paso

Resumiendo todas las campañas observadas, la cadena típica de infección de TeaBot sigue estas etapas:

  1. Contacto inicial: recibes un SMS, email o ves un anuncio que te invita a descargar una app útil (seguimiento de paquetes, lector de QR, reproductor de vídeo, lector de documentos…).
  2. Descarga de la app: accedes a una web que imita a una empresa legítima o a la propia Google Play, o instalas una app desde la tienda oficial que ya ha sido comprometida.
  3. Instalación y primeras ejecuciones: al abrir la app, esta funciona de forma aparentemente normal, pero en segundo plano descarga componentes adicionales o solicita una actualización fuera de la tienda.
  4. Solicitud de permisos: la app pide accesibilidad, lectura de SMS, superposición sobre otras aplicaciones y otros permisos sensibles. Usa textos y diseños engañosos para que creas que son necesarios.
  5. Conexión con el servidor de mando y control (C2): el malware se comunica con servidores remotos para recibir órdenes, actualizarse y obtener la lista de bancos y apps objetivo.
  6. Activación de funciones maliciosas: TeaBot empieza a interceptar SMS, superponer pantallas falsas, registrar teclas y enviar los datos robados a los atacantes.
  7. Evolución y persistencia: puede actualizarse, cambiar de servidor o descargar más malware para adaptarse a nuevas defensas y seguir activo el máximo tiempo posible.

Cómo eliminar TeaBot y otros troyanos bancarios de tu Android

Si sospechas que tu móvil puede estar infectado con TeaBot o con otro troyano similar, es importante actuar con rapidez. Estos son los pasos generales recomendados por las firmas de seguridad para intentar desinfectar el dispositivo:

1. Contacta con tu banco si has hecho operaciones sensibles

En caso de haber descargado e instalado una app sospechosa y haber realizado alguna actividad bancaria o similar después, es fundamental que:

  • Te pongas en contacto con tu banco por canales oficiales.
  • Solicites el bloqueo temporal de tus cuentas o tarjetas si es necesario.
  • Cambies contraseñas y actives métodos de autenticación robustos desde un dispositivo seguro.

2. Usa un antivirus de confianza

Las principales firmas de antivirus contienen reglas para detectar y eliminar este malware: puedes acceder a los cleaners de Android y realizar un análisis completo del dispositivo. Soluciones como Avast, Bitdefender, ESET o Malwarebytes disponen de detecciones específicas para TeaBot / Anatsa y otras familias relacionadas.

3. Inicia el dispositivo en modo seguro

Si no puedes desinstalar la app maliciosa en modo normal, una opción es usar el Modo Seguro de Android, que desactiva temporalmente todas las aplicaciones de terceros. Así, es más fácil localizar y eliminar la app que está causando el problema.

4. Revisa apps con uso anómalo de datos o batería

Desde los ajustes de Android, puedes comprobar qué aplicaciones consumen más batería o más datos de lo normal. Las apps maliciosas suelen tener un uso elevado pese a que apenas las utilices, lo que es una pista importante para identificarlas.

5. Restablecimiento de fábrica como último recurso

Si el dispositivo está muy comprometido o no logras eliminar el malware, realizar un restablecimiento de datos de fábrica puede ser la solución más drástica pero efectiva. Recuerda hacer copia de seguridad de tus fotos y archivos importantes (siempre que estés seguro de no copiar también el malware) y, después del restablecimiento, no restaures copias de apps sospechosas.

Cómo proteger tu Android y tus datos bancarios frente a TeaBot

Para evitar caer en este tipo de malware básicamente te recomendamos no instalar APKs de terceros salvo que tengas clara su procedencia y funcionamiento. Adicional a esto, no des permisos de accesibilidad a la ligera, ya que pueden controlar por completo tu dispositivo mediante el mismo. A partir de ahí, hay una serie de buenas prácticas que reducen drásticamente el riesgo:

  • Instala apps solo desde fuentes oficiales y siempre que el desarrollador sea conocido y fiable.
  • Desconfía de los enlaces en SMS o emails que te pidan instalar apps, especialmente si dicen ser de mensajerías o bancos.
  • Revisa siempre los permisos que solicita una app y pregúntate si realmente necesita accesibilidad, lectura de SMS o superposición sobre otras apps.
  • Mantén Google Play Protect activado y el sistema operativo actualizado con los últimos parches de seguridad.
  • Instala una solución de seguridad móvil de confianza que realice análisis periódicos.
  • No uses herramientas de cracking ni actualizadores de software no oficiales, ya que suelen ser un gancho habitual para malware.
  • Si algo te parece sospechoso (un SMS raro, una app que te pide demasiados permisos, una web que no termina de cuadrar), es preferible no continuar y consultar primero.

El troyano TeaBot es un ejemplo perfecto de cómo los ciberdelincuentes aprovechan cada resquicio del ecosistema Android, desde las descargas de APK externas hasta las propias tiendas oficiales, pasando por funciones legítimas como los servicios de accesibilidad. Entender cómo funciona, qué busca y cómo se camufla es la mejor forma de reforzar tus hábitos de seguridad y reducir las probabilidades de que tus datos bancarios y tu móvil Android terminen en manos de atacantes.