Un troyano que proviene de los anuncios de Google AdSense

10 Nov 2016

Si no entras en páginas sospechosas, el malware no puedes infectarte, ¿verdad? Pues… no es así. Por desgracia, tampoco están del todo protegidos los que no abren adjuntos poco fiables de los correos electrónicos y que tampoco instalan aplicaciones desde tiendas no oficiales.

A Trojan from Google ads

Los últimos acontecimientos sugieren que puede encontrarse malware hasta en una web legítima, como pudieron comprobar 318.000 usuarios de Android cuando sus dispositivos fueron atacados con el troyano bancario Svpeng.q desde los anuncios de Google AdSense.

Google AdSense es la mayor red de anuncios del mundo, por lo que muchos delincuentes sueñan con encontrar una forma de utilizar dicha red para propagar sus programas maliciosos mundialmente. Los creadores de Svpeng.q consiguieron hacerlo.

Los banners publicados por los delincuentes iniciaban la descarga automática del paquete de instalación de Svpeng.q con la ayuda de un script confuso. Normalmente, el navegador Chrome advierte a los usuarios cuando se descarga un archivo potencialmente peligroso, por lo que los delincuentes utilizaron una función especial para hacer que el dispositivo descargara el troyano por partes, lo que hizo que pasara desapercibido.

El script  se configuró para que actuara cuando se iniciaba en dispositivos con pantalla táctil y solo en el navegador Chrome. Así es como los delincuentes redujeron el público objetivo a usuarios de tabletas y smartphones Android (pues el troyano Svpeng.q se escribió para dicho SO).

Puedes leer más sobre Svpeng.q en el informe detallado que ha publicado Securelist. Resumamos la historia, la cual no se diferencia tanto de las de otros troyanos bancarios; su función principal es cubrir la interfaz de la banca móvil con otra falsa, copiar los datos de la tarjeta de crédito y enviárselos a los delincuentes. Luego, los utilizan para robar el dinero de la víctima.

Informamos de nuestros hallazgos a Google y los desarrolladores parchearon el agujero de Google Chrome que permitía al troyano evitar la notificación de seguridad.

Cabe destacar que si descargas Svpeng, no te infectarás de inmediato. Debes instalarlo y, entonces, el troyano hará lo posible para engañarte. Por ejemplo, el archivo de instalación puede llamarse Android_update_6.apk o Instagram.apk, entre otros. A los cibercriminales suele funcionarles bien esta táctica.

Cómo protegerte de los troyanos que se esconden en los anuncios

Hasta las webs legítimas pueden ponerte en riesgo sin saberlo. Para protegerte, sigue estos consejos:

1. Nunca abras archivos si no estás seguro de cómo llegaron a tu dispositivo. El hecho de que un archivo se llame Android_update.apk no significa que contenga una actualización del sistema. Puedes saber si el sistema dispone de una actualización comprobando la información de tu dispositivo en los ajustes.

2. No permitas la instalación de aplicaciones desde tiendas de terceros. Todo dispositivo Android incluye este ajuste. De este modo, aunque apruebes por error la instalación de una pseudoactualización, el sistema la detendrá.

3. Instala actualizaciones reales cuando estén disponibles. Asimismo, actualiza Google Chrome en todos tus dispositivos Android lo antes posible. No se tarda mucho y podría ahorrarte tiempo, molestias e, incluso, dinero.

4. Utiliza una protección antivirus en todos tus dispositivos. En casos como este, una solución de seguridad en tiempo real puede proteger al usuario (a diferencia de los análisis de virus que deben ejecutarse de forma manual). Svpeng sabe cómo detener los procesos de soluciones de seguridad populares, así que los análisis ni se iniciarán. Por el contrario, la versión de pago de Kaspersky Antivirus & Security for Android detecta Svpeng con el nombre Trojan.Banker.Androidos.Svpeng.Q (y lo bloquea con facilidad).