La tienda de aplicaciones Google Play ha sido invadida por decenas de apps infectadas con malware, convirtiéndola en un verdadero campo minado para los usuarios de Android, según expertos en seguridad. Con más de 5.5 millones de descargas en total, estas aplicaciones aparentemente inofensivas han permitido a actores malintencionados acceder a credenciales bancarias y otros datos sensibles de los usuarios.
Investigadores de la empresa de seguridad en la nube Zscaler han identificado que estas aplicaciones están ocultando cada vez más a Anatsa, un troyano también conocido como TeaBot. Este malware se disfraza de apps de productividad como gestores de archivos, traductores y lectores de códigos QR. Una vez instalado en el dispositivo del usuario, Anatsa descarga código malicioso o cargas útiles desde un servidor de comando y control (C2) bajo la apariencia de una actualización de software inofensiva.
Estas cargas útiles verifican el entorno del dispositivo y descargan un paquete de aplicaciones Android (APK) de Anatsa desde un servidor remoto. Una vez cargado el APK, Anatsa solicita permisos para diversas funcionalidades del dispositivo. Estos permisos permiten al troyano verificar el dispositivo de la víctima contra una lista de posibles objetivos bancarios. Si encuentra una coincidencia, Anatsa presenta una página de inicio de sesión falsa en el próximo lanzamiento de la aplicación bancaria, robando así las credenciales del usuario y enviándolas a los actores maliciosos.
Debido a que las cargas útiles de Anatsa no están ocultas dentro de las aplicaciones en sí, estas pueden ser anunciadas y distribuidas a través de Google Play, lo que facilita un mayor número de descargas que un sitio web o tienda de aplicaciones de terceros. Este alto número de descargas crea un bucle de retroalimentación positiva: los usuarios asocian la popularidad con la fiabilidad del software, por lo que son más propensos a descargar una app con decenas de miles de instalaciones. Los investigadores de Zscaler encontraron que cada app que oculta Anatsa tiene aproximadamente 70,000 instalaciones.
Aunque Anatsa es el malware de más rápido crecimiento dirigido a usuarios de Android, representa solo el 2.1% de los ataques en Google Play. Joker y Facestealer, que se utilizan para acceder a cuentas de redes sociales, mensajes SMS y más, constituyen más de la mitad de los ataques promovidos a través de la tienda de Google. Estas vulnerabilidades suelen transmitirse a través de aplicaciones de “herramientas” como lectores de códigos QR y PDF, así como apps de fotografía y personalización.
Los usuarios de Android deben ser extremadamente cautelosos al descargar aplicaciones, incluso de Google Play. Es crucial revisar los permisos solicitados por las aplicaciones y leer comentarios y reseñas para identificar posibles amenazas. Además, mantener el dispositivo y las aplicaciones actualizadas puede ayudar a proteger contra vulnerabilidades conocidas.
Generado por IA
