Varias apps de antivirus para Android están propagando su propio malware

Android
(Crédito de imagen: Google)

Google ha retirado de la Play Store una serie de aplicaciones antivirus falsas para Android tras descubrirse que se utilizaban como vehículo para la distribución de malware.

Según los expertos en ciberseguridad de Check Point Research, la empresa responsable del descubrimiento, al menos media docena de aplicaciones antivirus disponibles en el mercado oficial de Android estaban siendo usadas para propagar malware bancario. 

Las aplicaciones en cuestión son:

  • Atom Clean-Booster, Antivirus
  • Antivirus, Super Cleaner
  • Alpha Antivirus, Cleaner
  • Powerful Cleaner, Antivirus
  • Center Security - Antivirus (dos versiones)

Estas aplicaciones maliciosas eran portadoras de un Sharkbot, una cepa de malware que roba contraseñas e información bancaria. Comparte notificaciones push y ofrece falsas solicitudes de inicio de sesión, a través de las cuales los usuarios comparten sus credenciales con los atacantes. 

Aunque todas ellas han sido retiradas de la Play Store, Check Point afirma que aún permanecen activas en mercados no oficiales. Se aconseja a los usuarios de Android que hayan descargado las aplicaciones antes de su eliminación que las desinstalen inmediatamente.

No afecta a Rusia ni a China

En una sola semana de análisis, se identificaron más de 1.000 terminales infectados, y el número aumentó en aproximadamente 100 cada día. Las cifras de Google Play Store muestran que las aplicaciones maliciosas se descargaron unas 11.000 veces en total.

La identidad de los delincuentes sigue siendo desconocida, aunque los investigadores dicen que tienen razones para creer que es de origen ruso. El malware viene con funciones de geofencing, ignorando los dispositivos de China, India, Rumanía, Rusia, Ucrania y Bielorrusia. La mayoría de las víctimas se encuentran en el Reino Unido e Italia. 

Las cuentas de desarrolladores que subieron las aplicaciones fueron Zbynek Adamcik, Adelmio Pagnotto y Bingo Like Inc. De las tres cuentas, dos han estado activas desde el otoño del 2021. 

Sin embargo, la simple descarga de la aplicación no será suficiente para que los malhechores lancen un ataque completo. La víctima todavía tiene que concederle permisos para los servicios de accesibilidad, algo para lo cual la aplicación intentará engañar a la víctima.

Después de conceder los permisos a la aplicación, esta se hará cargo de la mayoría de las funciones del smartphone y podrá operar libremente.

Antonio Romero

Editor en TechRadar España de día, guitarrista de blues y friki de los cómics de noche. ¿O era al revés?

Aportaciones de
TOPICS