El malware ha vuelto a colarse en aplicaciones móviles de Google Play, pese a las crecientes medidas de seguridad implementadas por la empresa de la gran G. En esta ocasión incluso con mayor gravedad, ya que se ha descubierto su existencia en apps que, supuestamente, deben proteger a los usuarios.
Se han encontrado media docena de aplicaciones que propagan malware bancario en la tienda de Google haciéndose pasar por soluciones de antivirus. En concreto se trata de Atom Clean-Booster Antivirus, Antivirus Super Cleaner, Alpha Antivirus Cleaner, Powerful Cleaner Antivirus, Center Security Antivirus y una última app que compartía nombre con la anterior pero no imagen.
Cuatro de las solicitudes procedían de tres cuentas de desarrolladores, Zbynek Adamcik, Adelmio Pagnotto y Bingo Like Inc. Al comprobar el historial de estas direcciones, se ha detectado que dos de ellas estaban activas desde el otoño de 2021. Algunas de las aplicaciones vinculadas a las mismas se eliminaron de Google Play, pero siguen existiendo en markets no oficiales. Esto podría significar que el ciberdelincuente que está detrás intenta pasar desapercibido mientras sigue participando en actividades maliciosas.
Conocido como 'Sharkbot' este tipo de ataque roba credenciales e información bancaria de los usuarios de Android. Se trata de un malware que atrae a sus víctimas para que introduzcan sus claves en ventanas que imitan los formularios de inserción de credenciales. Cuando el usuario ingresa sus datos, la información comprometida se envía a un servidor malicioso.
La firma de seguridad Check Point ha sido quien ha realizado el hallazgo. Tras encontrar las apps e identificarlas, han puesto el asunto en conocimiento de Google. La firma de Mountain View ya habría procedido a eliminarlas de su tienda.
El 62% de las víctimas se encuentra en Italia, el 36% en el Reino Unido y el 2% en otros países. Además, los actores de amenazas han implementado la función de geofencing, que ignora a los usuarios de dispositivos en China, India, Rumanía, Rusia, Ucrania y Bielorrusia. Además se sospecha que los autores del malware son de procedencia rusa.
Apps bastante descargadas
“Hemos descubierto seis aplicaciones en la Play Store de Google que estaban propagando el malware Sharkbot, que roba credenciales e información bancaria", revela Eusebio Nieva, director de Check Point para España y Portugal.
"Si observamos el número de descargas podemos suponer que los responsables de la amenaza dieron en la diana con su método de propagación del malware. El ciberdelincuente ha elegido estratégicamente las aplicaciones en Google Play porque gozan de la confianza de los usuarios. Lo que también es digno de mención aquí es que envían mensajes a las víctimas que contienen enlaces maliciosos, lo que conduce a una adopción generalizada", añade Nieva.
El responsable de Check Point asegura que la utilización de mensajes push por parte de los atacantes para solicitar una respuesta de los usuarios es una técnica de propagación bastante inusual. Además, insta a los usuarios a ser cautelosos al descargar cualquier solución antivirus desde el almacén oficial de Android.