“Ladrones invisibles”: una app con troyano se cuela en Google Play e infecta a más de 10,000 teléfonos

Parecía solo otra herramienta de productividad. Pero detrás del icono poco llamativo y las promesas de gestión de documentos, se desarrollaba un plan siniestro en los teléfonos de más de 10,000 usuarios desprevenidos. Una aparentemente inocente app de lector de documentos, disponible en la tienda oficial de Google Play, se convirtió en el último vehículo de entrega para el notorio troyano bancario Anatsa - exponiendo una cruda verdad sobre los riesgos persistentes que acechan incluso en los mercados de apps más confiables.

El incidente, descubierto por investigadores de ThreatLabz, comenzó con la publicación de una falsa app de lector de documentos en Google Play. En apariencia, la app parecía legítima, con una descripción orientada a la utilidad y una interfaz limpia. Sin embargo, bajo esta fachada, albergaba código diseñado no para ayudar, sino para robar.

A diferencia del malware tradicional que revela sus verdaderas intenciones de inmediato, esta app actuaba como un “dropper”, un tipo de software que retrasa la actividad maliciosa. Tras ser instalada, se conectaba a un servidor remoto y descargaba silenciosamente el verdadero troyano Anatsa, disfrazado con el inocente nombre de archivo “privacy.txt”. Esta estrategia permitió que la app eludiera las defensas automáticas de Google, que suelen escanear las apps subidas en busca de malware evidente antes de ponerlas a disposición del público.

Una vez activado, Anatsa se otorgaba amplios privilegios del sistema explotando los servicios de accesibilidad de Android, dándole el poder de observar las interacciones del usuario e incluso manipular el contenido de la pantalla. Su objetivo principal: los datos financieros de los usuarios. Al superponer pantallas de inicio de sesión falsas sobre apps bancarias legítimas, registrar pulsaciones de teclas, capturar pantallas e interceptar mensajes SMS - including contraseñas de un solo uso - Anatsa permitía a los atacantes sustraer credenciales sensibles y, en algunos casos, iniciar transacciones fraudulentas de forma remota.

La comunicación con los atacantes se orquestaba a través de varios servidores de comando y control (C2), permitiendo a los operadores del malware emitir instrucciones, actualizar cargas maliciosas y exfiltrar datos robados. A pesar de los esfuerzos de Google por eliminar apps maliciosas, esta campaña demuestra cómo los actores de amenazas emplean ahora rutinariamente la entrega diferida de cargas y la ingeniería social para burlar las redes de seguridad y atacar a usuarios comunes.

La brecha subraya la necesidad de estar alerta: se recomienda a los usuarios revisar cuidadosamente los permisos de las apps (especialmente las solicitudes de acceso a servicios de accesibilidad), evitar apps con pocas reseñas u orígenes poco claros, y considerar herramientas de seguridad móvil de confianza. A medida que los atacantes perfeccionan sus métodos, la línea entre apps seguras y peligrosas en plataformas oficiales se vuelve cada vez más difusa - haciendo que la conciencia y la precaución sean más cruciales que nunca.

Si bien Google Play sigue siendo una fuente vital de software para Android, este episodio es un recordatorio contundente: incluso las descargas que parecen más seguras pueden ocultar peligros. En un mundo donde los ciberdelincuentes se mezclan sin problemas en los mercados digitales, la mejor defensa puede ser una base de usuarios informada y escéptica - una que sepa que un lector de documentos no siempre es lo que dice ser.

WIKICROOK

• Troyano bancario: Un troyano bancario es un malware que apunta a datos financieros robando credenciales bancarias e información personal, a menudo imitando apps de confianza.
• Dropper: Un dropper es un tipo de malware que instala en secreto programas maliciosos adicionales en un dispositivo infectado, ayudando a los atacantes a evadir medidas de seguridad.
• Servicios de accesibilidad: Los servicios de accesibilidad son funciones de Android que ayudan a usuarios con discapacidades, pero pueden ser mal utilizados por malware para controlar dispositivos o robar datos.
• Comando: Un comando es una instrucción enviada a un dispositivo o software, a menudo por un servidor C2, indicándole que realice acciones específicas, a veces con fines maliciosos.
• Ataque de superposición: Un ataque de superposición utiliza pantallas falsas colocadas sobre apps reales para engañar a los usuarios y que ingresen datos sensibles como contraseñas o PINs, facilitando el robo de credenciales.