android
Los usuarios suelen pensar que instalar aplicaciones desde Google Play es algo seguro. Después de todo, es la tienda más oficial de todas las que existen para Android, y todas las aplicaciones son examinadas a fondo por los moderadores de Google, ¿verdad?
Sin embargo, en Google Play se pueden encontrar más de tres millones de aplicaciones únicas ―la mayoría de las cuales se actualizan regularmente― y examinarlas todas a fondo, es decir, realmente a fondo, es algo que excede los recursos de hasta una de las empresas más grandes del mundo.
Los creadores de aplicaciones maliciosas son conscientes de esto, y por eso han desarrollado una serie de técnicas para infiltrar sus creaciones en Google Play. En esta publicación, echamos un vistazo a los casos más sonados de 2023 de aplicaciones maliciosas que han acabado en la tienda oficial de Android, con un total de descargas que superan los… ¡600 millones! ¡Adelante!
50.000 descargas: la aplicación iRecorder infectada espía a los usuarios
Comencemos con el caso menor, pero bastante interesante y muy ilustrativo de iRecorder. Esta intuitiva aplicación para grabar la pantalla para teléfonos Android se subió a Google Play en septiembre de 2021.
Posteriormente, en agosto de 2022, sus desarrolladores añadieron una funcionalidad maliciosa: el código del troyano de acceso remoto AhMyth, que provocaba que los teléfonos de todos los usuarios que habían instalado la aplicación grabaran sonido desde el micrófono cada 15 minutos y lo enviaran al servidor de los creadores de la aplicación. Para cuando los investigadores descubrieron el malware en mayo de 2023, la aplicación iRecorder se había descargado más de 50.000 veces.
Este ejemplo demuestra una de las formas en que las aplicaciones maliciosas logran llegar a Google Play. Primero, los ciberdelincuentes publican una aplicación inofensiva en la tienda para asegurarse de pasará todos los controles de moderación. Posteriormente, cuando la aplicación ha creado una base de usuarios y cierta reputación (algo que puede llevar meses o incluso años), se modifica con una funcionalidad maliciosa y se introduce con la siguiente actualización en Google Play.
620.000 descargas: troyano de suscripción Fleckpe
También en mayo de 2023, nuestros expertos encontraron varias aplicaciones en Google Play infectadas con el troyano de suscripción Fleckpe. Para ese momento, ya habían conseguido 620.000 instalaciones. Curiosamente, estas aplicaciones fueron subidas por desarrolladores diferentes. Y esta es otra táctica común: los ciberdelincuentes crean numerosas cuentas de desarrollador en la tienda para que, incluso si los moderadores les bloquean alguna, simplemente puedan subir una aplicación similar a otra de sus cuentas.
Aplicaciones en Google Play infectadas con el troyano de suscripción Fleckpe
Cuando la aplicación infectada se ejecutaba, la carga útil maliciosa principal se descargaba en el teléfono de la víctima, tras lo cual el troyano se conectaba al servidor de mando y control y transfería la información del país y del operador de telefonía. Gracias a esta información, el servidor proporcionaba instrucciones sobre cómo proceder. A continuación, Fleckpe abría páginas web con suscripciones de pago en una ventana del navegador invisible para el usuario e, interceptando los códigos de confirmación de las notificaciones entrantes, suscribía al usuario a servicios innecesarios que abonaba a través del contrato del operador de telefonía móvil.
1,5 millones de descargas: spyware chino
En julio de 2023, se descubrió que Google Play alojaba dos administradores de archivos: uno con un millón de descargas y otro con medio millón. A pesar de las garantías de los desarrolladores de que las aplicaciones no recopilaban ningún dato, los investigadores descubrieron que las dos transmitían mucha información del usuario a servidores en China, incluidos datos como los contactos, la geolocalización en tiempo real, información sobre el modelo de teléfono y la red de telefonía, fotos, audio, archivos de vídeo y más.
Administradores de archivos en Google Play con spyware chino en su interior. Fuente.
Para evitar que el usuario las desinstale, las aplicaciones infectadas ocultaban sus iconos de escritorio, lo cual es otra táctica común empleada por los creadores de malware móvil.
2,5 millones de descargas: adware en segundo plano
En un caso reciente de detección de malware en Google Play en agosto de 2023, los investigadores encontraron hasta 43 aplicaciones ―incluidas entre otras TV/DMB Player, Music Downloader, News y Calendar― que cargaban anuncios en secreto cuando la pantalla del teléfono del usuario estaba apagada.
Algunas de las aplicaciones con adware oculto. Fuente.
Para poder desarrollar su actividad en segundo plano, las aplicaciones solicitaban al usuario que las añadiera a la lista de exclusiones del ahorro de energía. Naturalmente, los usuarios afectados sufrían una reducción de la vida útil de la batería. Estas aplicaciones tuvieron un total combinado de 2,5 millones de descargas, y su público objetivo fue principalmente coreano.
20 millones de descargas: aplicaciones fraudulentas que prometen recompensas
Un estudio publicado a principios de 2023 reveló varias aplicaciones sospechosas en Google Play con más de 20 millones de descargas entre ellas. Estas aplicaciones se anunciaban principalmente como rastreadores de salud y prometían a los usuarios recompensas en efectivo por caminar y otras actividades, así como por ver anuncios o instalar otras aplicaciones.
Aplicaciones en Google Play que prometen recompensas por caminar y ver anuncios. Fuente.
Más concretamente, el usuario recibía puntos por realizar estas acciones, que supuestamente podían convertirse después en dinero real. El único problema era que para obtener una recompensa era necesario acumular una cantidad tan grande de puntos que en la realidad era imposible lograrlo.
35 millones de descargas: clones de Minecraft con adware en su interior
Google Play también ha alojado juegos maliciosos este año, y el principal culpable (y no por primera vez) es Minecraft, que sigue siendo uno de los títulos más populares del mundo. En abril de 2023 se detectaron 38 clones de Minecraft en la tienda oficial de Android, con un total de 35 millones de descargas. Estas aplicaciones ocultaban en su interior un adware con un nombre muy pertinente: HiddenAds.
Block Box Master Diamond: el clon más popular de Minecraft infectado por HiddenAds. Fuente.
Cuando se abrían las aplicaciones infectadas, “mostraban” anuncios ocultos sin el conocimiento del usuario. Esto no representaba una amenaza grave en sí, pero ese funcionamiento podría haber afectado al rendimiento del dispositivo y a la duración de la batería.
Y las aplicaciones infectadas siempre podían pasar más adelante a emplear un esquema de monetización mucho menos inofensivo. Esta es otra táctica estándar de los creadores de aplicaciones de malware de Android: cambian fácilmente entre distintos tipos de actividad maliciosa según la rentabilidad que obtienen en cada momento.
100 millones de descargas: recopilación de datos y fraude del clic
También en abril de 2023, se encontraron otras 60 aplicaciones en Google Play infectadas con un adware que los investigadores denominaron Goldoson. En conjunto, estas aplicaciones tuvieron más de 100 millones de descargas en Google Play y otros ocho millones en la popular tienda coreana ONE.
Este malware también “mostraba” anuncios ocultos al abrir páginas web dentro de la aplicación en segundo plano. Además, las aplicaciones maliciosas recopilaban datos del usuario, como información sobre las aplicaciones instaladas, la geolocalización, las direcciones de los dispositivos conectados al teléfono a través de Wi-Fi y Bluetooth, y más.
Al parecer, Goldoson se había infiltrado en todas esas aplicaciones junto con una biblioteca infectada empleada por muchos desarrolladores legítimos que simplemente no sabían que contenía esta funcionalidad maliciosa. Y esto no es poco común: a menudo, los creadores de malware no desarrollan ni publican aplicaciones en Google Play, sino que crean bibliotecas infectadas de este tipo que terminan en la tienda junto con las aplicaciones de otros desarrolladores.
451 millones de descargas: anuncios de minijuegos y recolección de datos
Terminamos con el caso más grande del año: en mayo de 2023, un equipo de investigadores encontró la friolera de 101 aplicaciones no elegibles en Google Play, con un total de descargas combinadas de 421 millones. Al acecho dentro de todas y cada una de ellas estaba una biblioteca con el código SpinOk.
Poco después de eso, otro equipo de investigadores descubrió 92 aplicaciones más en Google Play que tenían la misma biblioteca con SpinOk, pero con un número un poco más modesto de descargas: 30 millones. En total, se encontraron casi 200 aplicaciones que contienen el código SpinOK, con un total de 451 millones de descargas desde Google Play entre todas. Este es otro caso en el que se entregó código peligroso a aplicaciones desde una biblioteca de terceros.
Minijuegos que prometían “recompensas” que mostraban a los usuarios aplicaciones que contenían el código SpinOk. Fuente.
Aparentemente, la tarea de las aplicaciones era mostrar minijuegos intrusivos que prometían recompensas en efectivo. Pero eso no era todo: la biblioteca SpinOK era capaz de recopilar y enviar datos y archivos del usuario al servidor de mando y control de sus desarrolladores en segundo plano.
Cómo protegerse contra el malware en Google Play
Por supuesto, no hemos cubierto todos los casos de aplicaciones maliciosas que llegaron a Google Play en 2023, sino solo los más llamativos. La principal conclusión de esta publicación está clara: el malware en Google Play es mucho más común de lo que cualquiera de nosotros quisiera pensar: ¡las aplicaciones infectadas tienen un total de descargas combinadas de más de 500 millones!
No obstante, las tiendas oficiales siguen siendo, con diferencia, las fuentes más seguras. Descargar aplicaciones en otro lugar es mucho más peligroso, por lo que te recomendamos encarecidamente que no lo hagas. Pero también debes tener cuidado en las tiendas oficiales:
- Cada vez que descargues una aplicación nueva, revisa atentamente la página en la tienda para asegurarte de que sea una aplicación genuina. Presta especial atención al nombre del desarrollador. Con frecuencia, los ciberdelincuentes clonan aplicaciones populares y las publican en Google Play con nombres, iconos y descripciones similares para atraer a los usuarios.
- No te dejes guiar por la calificación general de la aplicación, ya que es fácil inflarla. También resulta sencillo falsificar las críticas favorables. Es mejor que te centres en las críticas negativas con calificaciones bajas; ahí es donde generalmente podrás encontrar una descripción de todos los problemas relacionados con la aplicación.
- Asegúrate de instalar una protección fiable en todos tus dispositivos Android, de manera que recibas unas advertencia si un troyano intenta colarse en tu teléfono o tablet.
- En la versión gratuita de nuestra aplicación para Android, no te olvides de ejecutar manualmente un análisis del dispositivo de vez en cuando y haz siempre un análisis antivirus después de instalar cualquier aplicación nueva y antes de abrirla por primera vez.
- En la versión de pago de nuestro paquete de protección ―que, por cierto, se incluye en una suscripción a Kaspersky Standard, Kaspersky Plus o Kaspersky Premium― el análisis se realiza automáticamente, lo que te mantiene a salvo de las aplicaciones infectadas.
Consejos