La amenaza que no cesa: investigadores descubren una serie de aplicaciones que se habían descargado más de 300.000 veces en Google Play y contenían malware

Simulaban ser escáneres para códigos QR, conversores de imágenes a ficheros PDF o incluso monederos de criptodivisas. La realidad se ha vuelto a imponer, y un nuevo puñado de aplicaciones en Google Play en realidad eran troyanos bancarios.

El titular suele aparecer recurrentemente en la prensa tecnológica. Es normal: investigadores y compañías dedicadas a la seguridad informática detectan cada cierto tiempo nuevas aplicaciones que han logrado sortear los controles de seguridad de tiendas de aplicaciones tan conocidas como populares para en realidad disfrazar programas maliciosos.

En esta ocasión, según han publicado diversos medios como Ars Technica, han sido especialistas de una compañía de ciberseguridad llamada ThreatFabric los que han detectado qué aplicaciones se han visto involucradas en esta campaña de troyanos bancarios. En su conjunto, todas estas aplicaciones habrían sido descargadas más de 300.000 veces por los usuarios de Android.

Google trata de mantener su tienda de apps, Google Play, a buen recaudo de virus y contenidos maliciosos. No obstante, no siempre lo consigue. La compañía del buscador delega buena parte de su trabajo a modelos de IA y sistemas automatizados que tratan de detectar posible código dañino en las apps que se suben.

Si has usado esta app para convertir divisas en tu móvil, cuidado: podrías ser víctima de un troyano bancario que pretendía robarte el PIN del banco

Pero los creadores de estos malware usan una serie de trucos para tratar de sortear esos escáneres de seguridad. "Lo que hace muy difícil evitar estas campañas de malware distribuido en Google Play es la detección automática con el uso del aprendizaje automático: todas las apps maliciosas que logran salir a flote tienen apenas una minúscula huella de código dañino", escriben los expertos.

De hecho, en apariencia, muchas de las aplicaciones que luego se convierten en esos troyanos bancarios comienzan siendo apps benignas. Pero una vez se instala la aplicación en el dispositivo del usuario, este último recibe instrucciones para instalar actualizaciones con mejoras. Es en ese momento cuando la app logra descargar las funcionalidades maliciosas.

En esta ocasión, el malware que ha estado detrás de esta campaña que ha empleado a docenas de apps se conoce como Anatsa, "el troyano bancario más avanzado de Android", según los investigadores. Un troyano bancario es un tipo de malware que consigue extraer las credenciales de los usuarios de sus cuentas corrientes, para asaltar así sus ahorros.

Así funciona Ginp, el troyano bancario que pone su diana en España y que está detrás del 'phising' con el que los ciberdelincuentes intentaron suplantar al Ministerio de Sanidad

Según Ars Technica o Wired, otro de los medios que se han hecho eco de este hallazgo, los responsables de este malware y de esta campaña concreta de distribución han tenido especial cuidado haciendo que sus aplicaciones, en un principio, parezcan legítimas e inofensivas. Esto se revela al detectar que muchas de estas apps tienen reseñas positivas de los propios usuarios.

Pero junto con Anatsa, no han sido los únicos programas maliciosos que han disfrutado de esta campaña. Otras familias de código malicioso como Alien, Hydra o Ermac han conseguido ejecutarse en los dispositivos de sus usuarios cuando estos pensaban que se estaban descargando algo en apariencia tan inofensivo como un escáner de códigos QR.