Un análisis de ThreatLabs de Zscaler reveló que 77 aplicaciones maliciosas en Google Play, con más de 19 millones de instalaciones, estaban distribuyendo diversas familias de malware en Android. Entre los más destacados se encuentran Anatsa (TeaBot), Joker, Harly, adware y maskware.

Familias de malware detectadas

  • Adware (≈66%): mostraban publicidad intrusiva y generaban ingresos ilícitos.
  • Joker (≈25%): con capacidad para interceptar SMS, realizar llamadas, robar contactos, capturar pantallas y suscribir al usuario a servicios premium.
  • Harly: variante del Joker que oculta el código malicioso más profundamente en el APK para evadir la detección.
  • Maskware: aplicaciones que parecen legítimas (juegos, linternas, editores de fotos) pero ejecutan robo de datos, credenciales bancarias o ubicación en segundo plano.

Evolución del troyano bancario Anatsa

El troyano Anatsa, activo desde 2020, ha evolucionado y ahora apunta a más de 831 aplicaciones financieras y de criptomonedas (antes eran 650), expandiendo su alcance a países como Alemania y Corea del Sur.

Se distribuyó en esta campaña mediante la app señuelo “Document Reader – File Manager”, que descargaba la carga maliciosa tras la instalación.

Técnicas avanzadas de evasión

  • Carga directa del payload descomprimido de archivos JSON.
  • APK malformados y ZIP obfuscation para evitar el análisis estático.
  • Descifrado dinámico DES de cadenas en tiempo de ejecución.
  • Rotación de hashes y nombres de paquetes para evadir firmas de seguridad.
  • Detección de emuladores para esquivar entornos de prueba.
  • Abuso de accesibilidad para autoconcederse privilegios.

Capacidades principales

  • Keylogger integrado para robo de información genérica.
  • Superposición de pantallas (overlay attacks) para capturar credenciales.
  • Inyección de páginas de phishing desde servidores de control.
  • Acceso a SMS, contactos y acciones del dispositivo.

Impacto y tendencias

  • En total, las apps maliciosas alcanzaron 19 millones de descargas.
  • Google eliminó todas tras recibir el reporte de Zscaler.
  • Se detectó un aumento de adware, Joker y Anatsa, mientras que familias como Facestealer y Coper han disminuido.
  • La mayoría de los señuelos provenían de apps de personalización, entretenimiento, fotografía y diseño, consideradas de alto riesgo.

Recomendaciones para usuarios

  • Mantener Google Play Protect activo.
  • Descargar únicamente apps de desarrolladores reconocidos.
  • Revisar reseñas y comentarios antes de instalar.
  • Evitar conceder permisos excesivos (ej. accesibilidad o SMS).
  • Instalar soluciones de seguridad móvil de confianza.
  • En caso de infección por Anatsa, contactar inmediatamente al banco para proteger cuentas y credenciales.

Fuente: bleepingcomputer[.]com

You May Also Like

Google ha advertido sobre la vulnerabilidad de seguridad CVE-2024-7965 en Chrome, la cual está siendo activamente explotada.

HKN FEED

Malware simula instalar «Google Translate Desktop» y otras aplicaciones sin versiones de escritorio 

wpadmin001

Ataque a Ex MP Egipcio Utilizando Zero-Days de Apple

HKN FEED