Así opera GriftHorse, un peligroso troyano recién descubierto que ha infectado a más de 10 millones de móviles Android en todo el mundo

A este caballo, aunque sea regalado, sí tendrás que mirarle el diente. Un nuevo y peligroso troyano ha infectado a más de 10 millones de dispositivos Android en todo el mundo, y su nombre es GriftHorse.

Zimperium, una compañía especializada en seguridad informática, fue la primera en identificar este malware que lleva operando desde noviembre del año pasado. Aunque su base de víctimas no supera el 1% de todos los móviles Android en uso que hay en todo el planeta, este código malicioso ha impactado en terminales de más de 70 países. España también.

Lo que consigue este troyano es que los usuarios se suscriban a servicios premium sin quererlo, con lo que en muchos casos las víctimas comprueban cómo en su banco aparecen cargos de hasta 36 euros mensuales sin saber de qué y por qué. Los investigadores de Zimperium creen que con esta peculiar estafa los desarrolladores del troyano han ganado millones de euros, dice The Register.

El problema de este troyano es que está presente en docenas de aplicaciones. Google ya ha movido ficha y las ha eliminado de su Play Store, pero muchas de estas apps pueden seguirpresentes en tiendas de aplicaciones de terceros, en las que los usuarios pueden descargar los archivos .apk e instalarlos en su terminal.

2021 ya es el año en el que más vulnerabilidades de día cero han detectado los expertos en ciberseguridad, pero esto no es necesariamente malo

Los investigadores que han dado los detalles sobre cómo funciona GriftHorse trabajan en Zimperium y se llaman Aazim Yaswant y Nipun Gupta. En una publicación en el blog de su compañía, ambos desgranan que hasta que el usuario es infectado por el troyano, este bombardea a sus víctimas con notificaciones no deseadas.

Esas notificaciones se dan en las apps infectadas que el usuario pueda haber instalado. La notificación es la propia de cualquier tipo de malware: lanza un mensaje avisando a su potencial víctima de que esta ha ganado un premio que tiene que reclamar en ese preciso momento. Si la víctima no pica en su primer intento, la notificación se puede llegar a repetir hasta cinco veces cada hora.

Cuando la víctima pincha, el troyano abre un formulario especialmente diseñado para cada ubicación (no será el mismo formulario el que se despliegue en un móvil de España que en un móvil de India) en el que se pide que el usuario registre su número de teléfono para proceder a una verificación.

Pero esa verificación no existe. Lo que hace el troyano es enviar automáticamente el número de teléfono a un servicio premium de pago vía SMS con la que las víctimas pueden llegar a perder hasta 36 euros mensuales. 

Cuidado: un nuevo 'malware' que actúa a través de un mensaje de texto en Android puede robarte tu dinero y credenciales bancarias

De momento, los investigadores destacan que las aplicaciones cuyo código se ha visto intervenido por el troyano para propagarse están todas desarrolladas sobre el marco de Apache Cordova, que confía en lenguajes de programación como HTML, CSS o JavaScript y que ofrece un método muy sencillo para que las apps envíen push a los móviles de sus usuarios.

Entre las apps afectadas se encuentran herramientas como traductores o brújulas, y también versiones no licenciadas de videojuegos de simulación de conducción de autobuses o incluso apps de citas. En total, todas las aplicaciones en las que estaba presente el código de GriftHorse suman unos 17 millones de descargas. Puedes consultar la lista completa de apps al final de este artículo.

GriftHorse no es tan peligroso como troyanos que atacan directamente al usuario para tratar de robarles sus credenciales bancarias. Sin embargo, la posibilidad de extraer dinero de sus víctimas mediante un servicio de suscripción SMS no deseado, así como su elevada propagación, lo hacen un problema a tener en cuenta en los dispositivos móviles.