Malware en apps: 19 millones de descargas, bórralas ya

Mostrar resumen Ocultar resumen

Una oleada de aplicaciones maliciosas superó los filtros de Google Play y acumuló más de 19 millones de instalaciones antes de ser detectada. Investigadores de seguridad han identificado decenas de apps infectadas que comprometieron la privacidad y la seguridad de millones de dispositivos Android.

Lo que revelan los análisis de ThreatLabS sobre las apps infectadas

El estudio realizado por Zscaler ThreatLabS encontró una campaña amplia y coordinada. En total, se identificaron 77 aplicaciones con código malicioso que se distribuyeron en la tienda oficial.

  • Más del 66% incluían módulos de adware para mostrar anuncios intrusivos.
  • Un 25% aproximado contenía el conocido troyano Joker.
  • Variantes bancarias como Anatsa/TeaBot aparecieron en varias familias de apps.

Los investigadores destacaron que muchas de estas apps usaban permisos legítimos para ocultar sus funciones maliciosas. También descargaban componentes peligrosos desde servidores externos tras la instalación.

Amenazas que más preocupan: cómo actúan Joker, Anatsa y otros troyanos

Las técnicas empleadas por estos troyanos combinan robo de credenciales, suscripciones no autorizadas y exfiltración de datos. Cada malware tiene un perfil distinto.

Joker y sus capacidades

Joker puede leer y enviar SMS, tomar capturas, efectuar llamadas y acceder a la lista de contactos. Con esos permisos, puede subscribir al usuario a servicios de pago sin consentimiento.

Anatsa (TeaBot) y la evolución del troyano bancario

Anatsa ha ampliado su lista de objetivos. La última generación puede atacar más de 831 aplicaciones bancarias y de criptomonedas. Usa ofuscación dinámica, detección de emuladores y APKs malformados para evitar la detección.

Otras variantes: Harly, maskware y DroidBot

  • Harly se camufla como app legítima y oculta su código en capas profundas del sistema.
  • El maskware aparenta funcionar con normalidad mientras roba credenciales en segundo plano.
  • DroidBot y variantes regionales apuntan a usuarios en Europa, incluido España.

Modus operandi: cómo llegan estas apps a la Play Store

Los atacantes explotan la confianza en categorías populares. Publican aplicaciones de productividad, personalización, fotografía y utilidades.

  • Se presentan con descripciones y capturas atractivas.
  • Usan desarrolladores con nombres plausibles para parecer legítimos.
  • Tras la instalación, descargan módulos maliciosos desde servidores externos.

Un ejemplo recurrente son apps tipo «Document Reader – File Manager» que actúan como señuelos. Después instalan el payload que realiza el fraude bancario o muestra anuncios invasivos.

Señales prácticas para detectar una posible infección

Algunas pistas del comportamiento malicioso son fáciles de observar. Revisarlas puede salvar cuentas y datos.

  • Permisos excesivos: una app de lectura que pide acceso a SMS o llamadas.
  • Consumo de datos y batería anómalo tras instalar una app.
  • Mensajes de suscripción o cargos desconocidos en la factura.
  • Aparición de ventanas que imitan bancos o servicios financieros.
  • Instalaciones de software desconocido sin tu consentimiento.

Recomendaciones claras para proteger tu móvil Android

Seguir buenas prácticas reduce el riesgo. Estas acciones son las más efectivas.

  1. Activa Play Protect y mantén Google Play actualizado.
  2. Revisa la identidad del desarrollador y lee reseñas antes de instalar.
  3. Otorga solo los permisos estrictamente necesarios.
  4. Desinstala inmediatamente aplicaciones sospechosas.
  5. Si detectas actividad bancaria extraña, contacta con tu entidad.
  6. Realiza copias de seguridad y considera un análisis con una app de seguridad fiable.
  7. En casos de compromiso grave, restablece el dispositivo tras guardar datos esenciales.

Qué hizo Google y por qué no basta con eliminar las apps

Tras el informe, Google retiró las apps detectadas de Play Store. Sin embargo, la retirada no desinfecta dispositivos que ya instalaron las apps.

  • En operaciones previas se eliminaron más de 180 apps peligrosas.
  • Los atacantes actualizan sus técnicas para evadir controles automáticos.
  • Por eso, muchas amenazas pueden permanecer en móviles sin actualizar.

Medidas técnicas y señales para usuarios avanzados

Permisos y accesibilidad

El abuso de la API de accesibilidad es común en troyanos bancarios. Con ese permiso, el malware puede controlar interfaces y robar credenciales.

Indicadores de red y archivos externos

  • Conexiones recurrentes a dominios desconocidos tras instalar una app.
  • Descarga de APKs o módulos adicionales desde servidores remotos.
  • Cadenas ofuscadas y detección de emuladores dentro del código.

Si observas estos comportamientos, desinstala la app y realiza un análisis con herramientas forenses o de seguridad móvil.

Da tu opinión

Sé el primero en valorar esta entrada
o deja una reseña detallada



Microsoft Insider es un medio independiente. Apóyanos añadiéndonos a tus favoritos de Google News:

Publicar un comentario

Publicar un comentario