Si hay algo importante que mencionar es que los usuarios habitualmente suelen pensar que instalar aplicaciones desde Google Play es algo seguro. Después de todo, es la tienda oficial de todas las que existen para Android, sin embargo, hay que tener presente que en esta plataforma se pueden hallar más de 3 millones de aplicaciones únicas, la mayoría de las cuales se actualizan regularmente, y examinarlas todas a fondo es algo que excede los recursos de hasta una de las empresas más grandes del mundo.
Los creadores de aplicaciones maliciosas son conscientes de esto, y por eso han desarrollado un conjunto de técnicas para infiltrar sus creaciones en Google Play. Los expertos de Kaspersky lograron analizar los casos más sonados de 2023 de aplicaciones maliciosas que han sido comercializadas en la tienda oficial de Android, con un total de descargas que superan los 600 millones. ¡A continuación mencionaremos todos los detalles al respecto!
Primeramente hay que mencionar las 50,000 descargas: App iRecorder
Según se ha podido conocer, iRecorder, es una intuitiva aplicación para grabar la pantalla para teléfonos Android, se subió a Google Play en el mes de septiembre del año 2021. Posteriormente, en agosto de 2022, sus desarrolladores añadieron una funcionalidad maliciosa: el código del troyano de acceso remoto “AhMyth”, el cual provocaba que los teléfonos de todos los usuarios que habían instalado la aplicación grabaran sonido desde el micrófono cada 15 minutos y lo enviaran al servidor de los creadores de la aplicación. Hay que acotar que para cuando los investigadores consiguieron descubrir el malware en el mes de mayo del presente año 2023, la aplicación iRecorder se había descargado más de 50,000 veces.
No hay que pasar por alto que este ejemplo logra demostrar una de las formas en que las aplicaciones maliciosas logran llegar a Google Play. Primero, los ciberdelincuentes publican una aplicación inofensiva en la tienda para cerciorarse que pasará todos los controles de moderación. Luego, cuando ha alcanzado una base de usuarios y cierta reputación, se modifica con una funcionalidad maliciosa que se introduce mediante una actualización.
620,000 descargas: troyano de suscripción Fleckpe
Ahora bien, también en el mes de mayo del presente año 2023, expertos hallaron diversas aplicaciones en Google Play infectadas con el troyano de suscripción Fleckpe. Vale la pena mencionar que para ese momento, ya habían conseguido 620,000 instalaciones. Curiosamente, estas Apps fueron subidas por desarrolladores diferentes. Y esta es otra táctica frecuente; los ciberdelincuentes crean cuantiosas cuentas de desarrollador en la tienda para que, incluso si los moderadores les bloquean alguna, sencillamente puedan subir una aplicación similar a otra de sus cuentas.
Cuando la App infectada se ejecutaba, la carga útil maliciosa principal se descargaba en el teléfono de la víctima, después de lo cual el troyano se conectaba al servidor de mando y control y transfería la información del país y del operador de telefonía. Gracias a esta información, el servidor suministraba instrucciones sobre cómo proceder. Posteriormente, Fleckpe abría páginas web con suscripciones de pago en una ventana del navegador invisible para el usuario y, interceptando los códigos de confirmación de las notificaciones entrantes, suscribía al usuario a servicios innecesarios que abonaba mediante el contrato del operador de telefonía móvil.
Las 1,5 millones de descargas: spyware chino
Así mismo, hay que señalar que en el mes de julio del presente año 2023, se descubrió que Google Play alojaba 2 Apps maliciosas para la administración de archivos; una de ellas con un millón de descargas y la otra con medio millón. A pesar de las garantías de los desarrolladores de que las aplicaciones no recopilaban ningún dato, los investigadores consiguieron descubrir que las dos transmitían mucha información del usuario a servidores en China, incluidos ciertos datos como por ejemplo; los contactos, la geolocalización en tiempo real, así como también información sobre el modelo de teléfono y la red de telefonía, fotos, audio, archivos de vídeo y mucho más. Lo cierto es que para poder evitar que el usuario las desinstale, las aplicaciones infectadas ocultaban sus iconos de escritorio, lo cual es otra táctica bastante habitual empleada por los creadores de malware móvil.
Entre tanto, se encuentran las 2,5 millones de descargas: adware en segundo plano
Por otra parte hay que destacar que en un caso reciente de detección de malware en Google Play en el mes de agosto del presente año 2023, los investigadores hallaron hasta 43 aplicaciones (incluidas, entre otras, TV/DMB Player, así como Music Downloader, News y Calendar) que cargaban anuncios en secreto cuando la pantalla del teléfono del usuario estaba apagada. Vale la pena mencionar que para poder desarrollar su actividad en segundo plano, las aplicaciones solicitaban al usuario que las agregara a la lista de exclusiones del ahorro de energía. Naturalmente, los usuarios afectados sufrían una disminución de la vida útil de la batería. No se debe pasar por alto que estas aplicaciones tuvieron un total combinado de 2,5 millones de descargas, y su público objetivo fue primordialmente coreano.
20 millones de descargas: Apps fraudulentas que prometen recompensas
Claramente no hay que dejar de mencionar un estudio publicado a principios del presente año 2023 el cual reveló varias aplicaciones sospechosas en Google Play con más de 20 millones de descargas entre ellas. Es crucial tener presente que estas aplicaciones se anunciaban principalmente como rastreadores de salud y prometían a los usuarios recompensas en efectivo por caminar y otras actividades, así como por ver anuncios o instalar otras aplicaciones. Más específicamente, el usuario recibía puntos por realizar estas acciones, que supuestamente podían convertirse después en dinero real. Lo cierto es que el único problema era que para obtener una recompensa era necesario acumular una cantidad tan grande de puntos que en la realidad era imposible lograrlo.
35 millones de descargas: clones de Minecraft
Según se pudo conocer, Google Play también ha alojado juegos maliciosos este año 2023, la mayoría disfrazados como Minecraft, que continúa siendo uno de los títulos más populares del mundo. En el mes de abril de este año 2023 se detectaron 38 clones de Minecraft en la tienda oficial de Android, con un total de 35 millones de descargas. Según se informa, estas aplicaciones ocultaban en su interior un adware con un nombre muy pertinente: HiddenAds.
Para ser más precisos, hay que señalar que cuando se abrían las aplicaciones infectadas, “mostraban” anuncios ocultos sin el conocimiento del usuario. Cabe acotar que esto no representaba una amenaza grave en sí, pero ese funcionamiento podría haber afectado al rendimiento del dispositivo y a la duración de la batería. Y las aplicaciones infectadas siempre podían pasar más adelante a emplear un esquema de monetización mucho menos inofensivo. Es de resaltar que esta es otra táctica estándar de los creadores de aplicaciones de malware de Android; cambian fácilmente entre distintos tipos de actividad maliciosa según la rentabilidad que obtienen en cada momento.
100 millones de descargas: recopilación de datos y fraude del clic
Por su parte, en el mes de abril de 2023, se hallaron otras 60 aplicaciones en Google Play infectadas con un adware que los investigadores denominaron Goldoson. Hay que recalcar que en conjunto, estas aplicaciones tuvieron más de 100 millones de descargas en esta tienda oficial. Este malware también “mostraba” anuncios ocultos al abrir páginas web dentro de la aplicación en segundo plano. Además, las aplicaciones maliciosas recopilaban datos del usuario, como información sobre las apps instaladas, así como también la geolocalización, direcciones de los dispositivos conectados al teléfono a través de Wi-Fi y Bluetooth, y mucho más. Todo parece indicar que, Goldoson se había infiltrado en todas esas aplicaciones junto con una biblioteca infectada empleada por muchos desarrolladores legítimos que sencillamente no sabían que contenía esta funcionalidad maliciosa.
451 millones de descargas: anuncios de minijuegos y recolección de datos
Finalmente, no se debe pasar por alto mencionar el caso más grande del año; en el mes de mayo del presente año 2023, un equipo de investigadores encontró 101 aplicaciones no elegibles en Google Play, con un total de descargas combinadas de 421 millones. Al acecho dentro de todas y cada una de ellas se encontraba una biblioteca con el código SpinOk.
Incluso, hay que señalar que poco después de eso, otro equipo de investigadores consiguió descubrir 92 aplicaciones más en Google Play que tenían la misma biblioteca con el código “SpinOk”, pero con un número un poco más modesto de descargas (30 millones). Lo cierto es que en total, se hallaron casi 200 aplicaciones que contienen el código SpinOK, con un total de 451 millones de descargas desde Google Play entre todas. Según se pudo conocer, este viene siendo otro caso en el que se entregó código peligroso a aplicaciones desde una biblioteca de terceros. Aparentemente, la tarea de las aplicaciones era mostrar minijuegos intrusivos que prometían recompensas en efectivo. Pero además, la biblioteca SpinOK era capaz de recopilar y enviar datos y archivos del usuario al servidor de mando y control de sus desarrolladores en segundo plano.
Debido a todo esto es necesario mencionar que el malware en Google Play es mucho más habitual de lo que se puede llegar a pensar; las aplicaciones infectadas tienen un total de descargas combinadas de más de 500 millones.
Por tal motivo, expertos de Kaspersky recomiendan lo siguiente:
- Si hay algo vital que se debe tener presente es que, pese a todo, las tiendas oficiales continúan siendo las únicas fuentes seguras para descargar aplicaciones; hacerlo en otro lugar es mucho más peligroso, por lo que se recomienda que no lo haga.
- Siempre que quiera descargar una aplicación nueva, debe revisar cuidadosamente la página en la tienda para asegurarse de que sea una aplicación genuina. Es crucial presta especial atención al nombre del desarrollador. Esto último debido a que los ciberdelincuentes clonan aplicaciones populares y las publican en Google Play con nombres, iconos y así mismo, descripciones similares para atraer a los usuarios.
- Debe asegurarse de instalar una protección fiable en todos sus dispositivos Android, de manera que reciba una alerta si un troyano intenta filtrarse en su dispositivo móvil o tablet.
