Investigadores de la firma de ciberseguridad ThreatFabric aseguran que más de 300.000 usuarios de smartphones Android podrían haber instalado troyanos bancarios en sus dispositivos, tras ser víctimas de un malware que consiguió superar la detección de Google Play.
Este código malicioso se habría colado en la tienda oficial de la compañía de Mountain View mediante cuatro tipos de aplicaciones distintas, generalmente versiones maliciosas de títulos bastante populares. Así, estas serían, sobre todo: escáneres de documentos, lectores de códigos QR, monitores de actividad física y apps de criptomonedas.
A menudo, las apps sí que contarían con las funciones que se señalan para no levantar sospechas. Lo que sí estaría oculta sería la verdadera intención de cada aplicación, que es nada más y nada menos que la entrega del malware una vez la app está descargada en el teléfono móvil.
De las cuatro familas de malware la más prolífica sería Anatsa, consiguiendo penetrar en más de 200.000 dispositivos con la plataforma del robot.
Los investigadores lo han descrito como un troyano bancario avanzado capaz de sustraer nombres de usuario y contraseña y llegar a capturar todo lo que se muestra en la pantalla del usuario. Incluso tiene un keylogger con el que los atacantes pueden registrar toda la información ingresada en el teléfono.
Aunque Anasta comenzó su actividad en enero, su impulso habría sido a partir de junio. Los expertos encontraron seis apps distintas preparadas para su expansión. Fueron escáneres de códigos QR, escáneres de PDF y apps de criptomonedas, principalmente.
Una de estas apps llegó a bajarse en más de 50.000 ocasiones. Lo más preocupante de todo es que su página de perfil mostraba muchas reseñas positivas, lo que habría motivado a otros usuarios a descargarla.
Los otros miembros de la familia
El segundo malware que más se ha encontrado es Alien. Los investigadores de ThreatFabric calculan que ha accedido a 95.000 teléfonos mediante las apps con malware de Google Play. Una de ellas era una app de fitness y entrenamiento físico que incluso se acompañaba de una landing page para parecer más legítima. Alien también puede robar capacidades de autenticación de dos factores y ha permanecido activa durante más de un año.
Como ocurre con Anasta en un principio la descarga inicial no contiene malware, pero este se colaría mediante una actualización falsa que se pide a los usuarios instalar.
Las otras dos familias de malware serían Hydra y Ermac. En total, acumulan más de 15.000 descargas. La firma de seguridad las vincula con el grupo de ciberdelincuentes Brunhilda, conocido por sus ataques a dispositivos Android usando malware bancario.
ThreatFabric ya informó a Google de la existencia de todas estas apps y desde la compañía de la gran G habrían procedido a su retirada, según informa ZDNet.