Bitdefender, compañía global de ciberseguridad, acaba de publicar una nueva investigación sobre una nueva campaña de ciberdelincuencia que aún está activa y que se aprovecha de la existencia de cientos de aplicaciones maliciosas alojadas en Google Play.
Más concretamente, se han descubierto 331 aplicaciones maliciosas que, en su conjunto, han sido descargadas unos 60 millones de veces. Al finalizar esta investigación 15 de estas aplicaciones seguían disponibles.
Según Bitdefender, los ciberdelincuentes han encontrado una forma de eludir las medidas de seguridad de Android y utilizan diferentes técnicas para mantenerse ocultos en los dispositivos una vez que estas aplicaciones han sido descargadas. Además, estas aplicaciones pueden iniciarse sin la interacción del usuario, algo que, en teoría, no debería ser técnicamente posible en Android 13.
Una vez instaladas, estas aplicaciones recopilan las credenciales y números de tarjetas de crédito que utilizan los usuarios al utilizar diferentes servicios online.
Por otra parte, aunque estas aplicaciones tienen funcionalidades concretas en la mayoría de los casos, también están diseñadas para mostrar anuncios agresivos, a pantalla completa y fuera de contexto sobre otras aplicaciones, y sin ningún tipo de permiso.
Hallazgos clave
- La campaña incluye al menos 331 aplicaciones que estaban disponibles a través de Google Play Store (15 todavía estaban en línea cuando se completó la investigación), reuniendo más de 60 millones de descargas.
- Los atacantes descubrieron una forma de ocultar los íconos de las aplicaciones del iniciador, que está restringido en las iteraciones más nuevas de Android.
- Las aplicaciones tienen alguna funcionalidad en la mayoría de los casos, pero pueden mostrar anuncios fuera de contexto sobre otras aplicaciones en primer plano, eludiendo restricciones sin utilizar permisos específicos que permitan este comportamiento.
- Algunas aplicaciones han intentado recopilar credenciales de usuario para servicios en línea, e incluso datos de tarjetas de crédito, mediante ataques de phishing.
- Las aplicaciones pueden iniciarse sin interacción del usuario, aunque esto no debería ser técnicamente posible en Android 13.
- La campaña parece ser obra de un solo actor o de varios criminales que utilizan la misma herramienta de empaquetado vendida en el mercado negro.
Perspectivas y descripción general
Las aplicaciones investigadas eluden las restricciones de seguridad de Android para iniciar actividades incluso si no se ejecutan en primer plano y, sin los permisos necesarios, bombardean a los usuarios con anuncios continuos a pantalla completa. Este mismo comportamiento se utiliza para mostrar elementos de la interfaz de usuario que presentan intentos de phishing.
Aplicación que imita aplicaciones de utilidad simples como:
- Lectores QR
- Aplicaciones de seguimiento de gastos
- Aplicaciones de salud
- Aplicaciones de fondos de pantalla
- Muchos otros…
La mayoría de las aplicaciones se activaron por primera vez en Google Play en el tercer trimestre de 2024. Tras un análisis más profundo, observamos que las más antiguas, publicadas con anterioridad, eran inicialmente benignas y no contenían componentes de malware. El comportamiento malicioso se añadió posteriormente, comenzando con las versiones de principios del tercer trimestre.
Los expertos de Bitdefender manifiestan que los ataques dirigidos a dispositivos móviles son cada vez más frecuentes y sofisticados. Por ello, instan a consumidores y empresas a estar alerta al descargar aplicaciones móviles y a utilizar protección antimalware en todos sus dispositivos.