Los expertos en seguridad han encontrado más de 90 aplicaciones de Android en Google Play, la tienda oficial de descargas para teléfonos Android, que estaban infectadas con malware. Los usuarios de Android han instalado estas aplicaciones peligrosas más de 5,5 millones de veces en dispositivos Android.
En este sentido, el troyano bancario “Anatsa”, alias “Teabot”, desempeña un papel importante y poco glorioso. Anatsa ataca más de 650 aplicaciones de instituciones financieras. Se trata de bancos del Reino Unido, Europa, Estados Unidos y Asia.
Encuentra las mejores aplicaciones antivirus para Android para proteger tu dispositivo
El troyano intenta robar datos de acceso a la banca online y utilizarlos para realizar transacciones bancarias fraudulentas. Anatsa se esconde en diversas apps que pretenden ser herramientas de productividad. En febrero de 2024, Anatsa utilizó este disfraz para lograr al menos 150.000 infecciones a través de Google Play.
Ahora, en mayo de 2024, Anatsa consiguió volver a irrumpir en Google Play, como podéis leer en este documento de Zscaler. Los ciberdelincuentes propagan el troyano bancario a través de las inofensivas y útiles aplicaciones “PDF Reader & File Manager” y “QR Reader & File Manager”.
Cuando la empresa de seguridad Zscaler llevó a cabo su investigación, los usuarios habían instalado estas dos aplicaciones infectadas unas 70.000 veces en sus dispositivos. El informe destaca las ‘Herramientas’ como la categoría de aplicaciones más popular a la que apuntar. Representan casi el 40%, mientras que la “personalización” y la “fotografía” representan el 20% y el 13% respectivamente.
¿Cómo sucede?
Anatsa evade la detección de malware de Google cargando sus componentes maliciosos en varias etapas. Primero, la aplicación cuentagotas recupera la configuración y cadenas importantes de los servidores de comando y control de los piratas informáticos. Luego, la aplicación descarga el archivo DEX con el código dropper malicioso y lo activa en el dispositivo Android.
Luego, la aplicación descarga el archivo de configuración con la URL de carga útil de Anatsa. Finalmente, el archivo DEX recupera e instala el malware real como un archivo APK, completando así el proceso de infección. El archivo DEX también verifica que el malware no se ejecute en entornos sandbox o dentro de emulaciones, donde permanecería ineficaz.
Una vez que Anatsa se ejecuta en el Android recién infectado, carga la configuración del bot y los resultados del escaneo de la aplicación a los servidores y luego descarga las “inyecciones” específicas que coinciden con la ubicación y el perfil del dispositivo víctima.
Como ya hemos mencionado, Anatsa es sólo un tipo de malware que actualmente está particularmente activo en Google Play. En total, los expertos en seguridad encontraron más de 90 aplicaciones infectadas (cuyos nombres no fueron publicados por los investigadores de seguridad) que los usuarios de Android han instalado más de 5,5 millones de veces.
Estas aplicaciones se disfrazan de herramientas, aplicaciones de personalización, utilidades de fotografía, aplicaciones de productividad y aplicaciones de salud y fitness. Google ahora ha eliminado las aplicaciones infectadas de Google Play.
Cómo protegerte
Como regla general, sólo deberías descargar aplicaciones de Android desde Google Play y evitar otras ofertas de descarga, incluso si los piratas informáticos lograron engañar a los mecanismos de seguridad de Google en el caso descrito aquí.
Lea los permisos que requiere una aplicación en su dispositivo antes de cada descarga. Cuestionarse críticamente si estas autorizaciones tienen sentido o si van demasiado lejos.
También tenga mucho cuidado con las llamadas telefónicas que pueda recibir cuando utilice aplicaciones, especialmente una aplicación bancaria, mientras realiza un pago o una transacción.
También debes instalar un antivirus en tu dispositivo Android.
Este artículo apareció originalmente en nuestra publicación hermana PC-WELT y fue traducido y adaptado del alemán.