El ecosistema del malware en Android está evolucionando. Investigadores de ciberseguridad han detectado que los droppers —aplicaciones maliciosas diseñadas para instalar otras cargas útiles— ya no se limitan a propagar troyanos bancarios, sino que también distribuyen software espía básico y ladrones de SMS.
Según un informe reciente de ThreatFabric, estas campañas se esconden tras aplicaciones falsas que se hacen pasar por servicios gubernamentales o bancarios, principalmente en India y otras regiones de Asia.
El cambio de estrategia estaría motivado por las nuevas medidas de seguridad de Google, como el programa piloto de Play Protect, que busca bloquear la instalación de apps con permisos de alto riesgo (mensajería SMS o servicios de accesibilidad) en países como Singapur, Tailandia, Brasil e India. Estas protecciones han elevado la dificultad para los actores maliciosos, que ahora recurren a droppers como una forma de evadir los controles y mantener flexibilidad en sus ataques.
Un juego del gato y el ratón
ThreatFabric explica que los droppers actúan como una “capa protectora”, permitiendo intercambiar cargas maliciosas y adaptarse a nuevas medidas de defensa. Algunas variantes muestran pantallas de “actualización” aparentemente inocuas para pasar desapercibidas durante el análisis, pero en realidad descargan o descomprimen el malware una vez que el usuario pulsa en “Actualizar”.
Aunque Play Protect puede emitir advertencias, la instalación sigue adelante si el usuario las ignora. Esta limitación permite que aplicaciones peligrosas logren infiltrarse incluso en el marco del programa piloto.
Uno de los droppers identificados, RewardDropMiner, además de spyware, llegó a incluir un minero de criptomonedas Monero activable de forma remota (aunque esta función ya no está presente en las últimas versiones). Entre las apps falsas distribuidas en India a través de este dropper se encuentran:
- PM YOJANA 2025 (com.fluvdp.hrzmkgi)
- RTO Challan (com.epr.fnroyex)
- SBI en línea (com.qmwownic.eqmff)
- Tarjeta del Eje (com.tolqppj.yqmrlytfzrxa)
Otros droppers detectados recientemente incluyen SecuriDropper, Zombinder, BrokewellDropper, HiddenCatDropper y TiramisuDropper, todos diseñados para sortear las defensas de Google.
Google responde
Consultada por The Hacker News, la compañía aseguró que no ha encontrado evidencias de que estas técnicas estén siendo usadas en Google Play y recordó que Play Protect analiza de forma automática todas las aplicaciones, independientemente de su origen. Google añadió que las protecciones contra estas variantes ya estaban activas antes de la publicación del informe y que continúan reforzándose de forma constante.
Publicidad maliciosa y troyanos mejorados
Este fenómeno coincide con un hallazgo de Bitdefender Labs, que reportó una campaña de malvertising en Facebook. Los ciberdelincuentes ofrecían versiones falsas de la aplicación TradingView para Android con el objetivo de desplegar una variante avanzada del troyano bancario Brokewell, capaz de robar credenciales y controlar el dispositivo de la víctima.
Desde el 22 de julio de 2025, la campaña ha publicado al menos 75 anuncios maliciosos, alcanzando a decenas de miles de usuarios en la Unión Europea. Los investigadores advierten que no se trata de un caso aislado, sino de una operación más amplia que también apunta a ordenadores Windows bajo la apariencia de herramientas financieras y de criptomonedas.
“Los atacantes están perfeccionando sus métodos para imitar el comportamiento del usuario”, señaló la firma rumana. “Al camuflar el malware como aplicaciones de trading confiables, buscan sacar ventaja del creciente uso de plataformas financieras y de criptomonedas en dispositivos móviles”.
https://thehackernews[.]com/
