A través de una herramienta de detección de anomalías de aplicaciones, Bitdefender ha descubierto una gran campaña de malware oculta que lleva más de medio año infectando móviles con sistema Android, debido a que no había, hasta el momento, tecnología para identificarla.
Los investigadores han encontrado más de 60.000 muestras completamente diferentes, es decir, aplicaciones únicas, y sospechan que hay muchas más en circulación. El objetivo original es la instalación de adware –software no deseado que genera grandes ingresos a través de la aparición de anuncios en la pantalla–, pero los especialistas advierten que también pueden cambiar de táctica y redirigir a los usuarios a otras formas de malware, como troyanos bancarios para robar credenciales e información financiera o ransomware. Además, la gran cantidad de muestras únicas descubiertas hace pensar que la operación podría estar completamente automatizada.
Según las estadísticas de Bitdefender, este adware está presente principalmente en Estados Unidos (55.27%), Corea del Sur (9.8%), Brasil (5.96%), Alemania, Gran Bretaña, Francia, Kazajistán y Rumania (alrededor de 2.5%). Resulta especialmente llamativa la extensa distribución de esta campaña siendo que la fuente de descarga no es Google Play, sino que se trata de artículos muy buscados que no se pueden encontrar en las tiendas oficiales, incluso si fueran legítimos.
Algunos de los tipos de aplicaciones imitadas por el malware son juegos con funciones desbloqueadas, VPN gratis, vídeos falsos, Netflix, tutoriales falsos, YouTube o TikTok sin anuncios, programas crackeados o programas de seguridad falsos, entro otros ejemplos.
Uno de los principales “trucos” de este malware es ocultar el icono de la aplicación en Android, eludiendo los esfuerzos de Google (API 30). Después se muestra un mensaje de error engañando al usuario para que piense que la instalación no se realizó correctamente, cuando en realidad la aplicación maliciosa está oculta en el sistema, pero solo aparece en la sección “Configuración > Información de la aplicación”, siempre al final de la lista, sin nombre y mediante un icono en blanco.
A esta técnica se suma un retraso de tiempo en el inicio de la actividad maliciosa, pensado puntualmente para dificultar más la detección y el momento de infección.
Una vez activo, el software malicioso comienza su actividad cuando el usuario desbloquea el teléfono, entonces la aplicación obtiene una URL de adware del servidor y usa el navegador móvil para cargar el anuncio, que en muchos casos se mostrará a pantalla completa.
Bitdefender ha descubierto esta campaña y su funcionamiento gracias a la App Anomal, que utiliza modelos de aprendizaje automático para detectar el comportamiento sospechoso de una aplicación incluso después de su instalación en los dispositivos.
Para eliminar y prevenir este tipo de ataques, la compañía recomienda usar protección antimalware en todos los dispositivos, prestar mucha atención a los sitios desde donde se descargan las aplicaciones y sólo hacerlo desde páginas de confianza.