Más de 300.000 usuarios de Android afectados por aplicaciones maliciosas en Play Store
Last Updated on septiembre 20, 2023 by Daniel Cepeda
Se han detectado en la Play Store un total de 4 programas maliciosos bancarios diferentes disfrazados de aplicaciones de criptomonedas, lectores de códigos QR, escáneres de PDF, monitores de fitness, etc.
Los usuarios de teléfonos inteligentes Android deben tener cuidado con los troyanos bancarios ocultos en las aplicaciones de Google Play Store, advierten los investigadores de ciberseguridad de ThreatFabric en su informe titulado “Fooling the Sky to Cross the Sea”.
Según el análisis de la empresa, la campaña maliciosa afectó a más de 300.000 usuarios y utilizó campañas publicitarias maliciosas y correos electrónicos de suplantación de identidad para inducir a las víctimas a descargar aplicaciones maliciosas.
4 troyanos bancarios ocultos en aplicaciones aparentemente inofensivas
Los investigadores de ThreatFabric descubrieron que estos troyanos se disfrazan de aplicaciones de criptomonedas, lectores de códigos QR, escáneres de PDF, monitores de fitness y más.
Al analizar estas aplicaciones, se descubrió que contienen cuatro tipos diferentes de malware, el más peligroso de los cuales es el malware Anatsa.
Cabe destacar que Anatsa es capaz de robar credenciales de usuario, contraseñas y direcciones de correo electrónico.
El malware Anatsa utiliza el registro de accesibilidad para grabar todo lo que aparece en la pantalla del usuario, y los atacantes utilizan un keylogger para registrar toda la información que el usuario introduce en el dispositivo.
Otro malware notorio descubierto por los investigadores de Threatfabric fue un troyano bancario llamado Alien.
Este malware puede eludir el mecanismo de autenticación 2FA. Además, otras familias de malware detectadas por ThreatFabric fueron Hydra y Ermac.
Además, los investigadores observaron que uno de los muchos droppers utilizados para descargar/instalar cargas útiles maliciosas era Gymdrop.
¿Cómo se infiltra el malware en los dispositivos?
Los investigadores afirman que normalmente los usuarios descargan una aplicación benigna y, tras instalarla, los operadores del malware envían mensajes a los usuarios pidiéndoles que descarguen actualizaciones e instalen funciones adicionales de la aplicación.
Todas las aplicaciones infectadas exigen a los usuarios que descarguen actualizaciones de fuentes de terceros.
Sin embargo, como el usuario confía en la aplicación, no se levanta ninguna sospecha. Además, en VirusTotal la mayoría de estas aplicaciones eran inicialmente indetectables por los escáneres de malware.
Además, las aplicaciones utilizan otros mecanismos para infectar los dispositivos, como que los operadores instalen manualmente las actualizaciones maliciosas tras determinar la ubicación geográfica de un dispositivo Android infectado, o que actualicen gradualmente un smartphone.
Más de 300.000 usuarios afectados
Al parecer, las aplicaciones maliciosas están equipadas con funciones publicitarias para evitar la detección o la sospecha de sus verdaderas intenciones.
Los cuatro programas maliciosos pueden eludir fácilmente los mecanismos de detección de la Play Store (Play Protect) y se dirigen principalmente a los dispositivos Android.
También es preocupante que estas aplicaciones cuenten en conjunto con más de 300.000 descargas por parte de los usuarios de Android. Los investigadores descubrieron que más de 200.000 usuarios de Android han instalado aplicaciones de Anatsa.
50.000 usuarios descargaron la aplicación de escaneo de códigos QR, y su página de descarga en Google Play Store tuvo críticas abrumadoramente positivas.
La aplicación de malware alienígena ha tenido 95.000 descargas.
Si eres un usuario de Android, evita descargar aplicaciones innecesarias de la Google Play Store o de mercados de terceros.
Además, utilice un software antivirus fiable, analice su dispositivo con regularidad y actualice el sistema operativo del mismo.
Anteriormente