{"id":26836,"date":"2023-11-16T15:31:51","date_gmt":"2023-11-16T21:31:51","guid":{"rendered":"https:\/\/latam.kaspersky.com\/blog\/?p=26836"},"modified":"2023-11-16T15:31:51","modified_gmt":"2023-11-16T21:31:51","slug":"malware-in-google-play-2023","status":"publish","type":"post","link":"https:\/\/latam.kaspersky.com\/blog\/malware-in-google-play-2023\/26836\/","title":{"rendered":"El malware de Google Play registra m\u00e1s de 600 millones de descargas en 2023"},"content":{"rendered":"

Los usuarios suelen pensar que instalar aplicaciones desde Google Play es algo seguro. Despu\u00e9s de todo, es la tienda m\u00e1s oficial de todas las que existen para Android, y todas las aplicaciones son examinadas a fondo por los moderadores de Google, \u00bfverdad?<\/p>\n

Sin embargo, en Google Play se pueden encontrar m\u00e1s de tres millones de aplicaciones \u00fanicas<\/a> \u2015la mayor\u00eda de las cuales se actualizan regularmente\u2015 y examinarlas todas a fondo, es decir, realmente<\/em> a fondo, es algo que excede los recursos de hasta una de las empresas m\u00e1s grandes del mundo.<\/p>\n

Los creadores de aplicaciones maliciosas son conscientes de esto, y por eso han desarrollado una serie de t\u00e9cnicas para infiltrar sus creaciones en Google Play. En esta publicaci\u00f3n, echamos un vistazo a los casos m\u00e1s sonados de 2023 de aplicaciones maliciosas que han acabado en la tienda oficial de Android, con un total de descargas que superan los\u2026 \u00a1600 millones! \u00a1Adelante!<\/p>\n

50\u00a0000 descargas: la aplicaci\u00f3n iRecorder infectada esp\u00eda a los usuarios<\/h2>\n

Comencemos con el caso menor, pero bastante interesante y muy ilustrativo de iRecorder. Esta intuitiva aplicaci\u00f3n para grabar la pantalla para tel\u00e9fonos Android se subi\u00f3 a Google Play en septiembre de 2021.<\/p>\n

Posteriormente, en agosto de 2022, sus desarrolladores a\u00f1adieron una funcionalidad maliciosa: el c\u00f3digo del troyano de acceso remoto AhMyth, que provocaba que los tel\u00e9fonos de todos los usuarios que hab\u00edan instalado la aplicaci\u00f3n grabaran sonido desde el micr\u00f3fono cada 15 minutos y lo enviaran al servidor de los creadores de la aplicaci\u00f3n. Para cuando los investigadores descubrieron el malware<\/a> en mayo de 2023, la aplicaci\u00f3n iRecorder se hab\u00eda descargado m\u00e1s de 50\u00a0000 veces.<\/p>\n

Este ejemplo demuestra una de las formas en que las aplicaciones maliciosas logran llegar a Google Play. Primero, los ciberdelincuentes publican una aplicaci\u00f3n inofensiva en la tienda para asegurarse de pasar\u00e1 todos los controles de moderaci\u00f3n. Posteriormente, cuando la aplicaci\u00f3n ha creado una base de usuarios y cierta reputaci\u00f3n (algo que puede llevar meses o incluso a\u00f1os), se modifica con una funcionalidad maliciosa y se introduce con la siguiente actualizaci\u00f3n en Google Play.<\/p>\n

620\u00a0000 descargas: troyano de suscripci\u00f3n Fleckpe<\/h2>\n

Tambi\u00e9n en mayo de 2023, nuestros expertos encontraron varias aplicaciones en Google Play<\/a> infectadas con el troyano de suscripci\u00f3n Fleckpe. Para ese momento, ya hab\u00edan conseguido 620\u00a0000 instalaciones. Curiosamente, estas aplicaciones fueron subidas por desarrolladores diferentes. Y esta es otra t\u00e1ctica com\u00fan: los ciberdelincuentes crean numerosas cuentas de desarrollador en la tienda para que, incluso si los moderadores les bloquean alguna, simplemente puedan subir una aplicaci\u00f3n similar a otra de sus cuentas.<\/p>\n

\"Aplicaciones<\/a>

Aplicaciones en Google Play infectadas con el troyano de suscripci\u00f3n Fleckpe.<\/p><\/div>\n

Cuando la aplicaci\u00f3n infectada se ejecutaba, la carga \u00fatil maliciosa principal se descargaba en el tel\u00e9fono de la v\u00edctima, tras lo cual el troyano se conectaba al servidor de mando y control y transfer\u00eda la informaci\u00f3n del pa\u00eds y del operador de telefon\u00eda. Gracias a esta informaci\u00f3n, el servidor proporcionaba instrucciones sobre c\u00f3mo proceder. A continuaci\u00f3n, Fleckpe abr\u00eda p\u00e1ginas web con suscripciones de pago en una ventana del navegador invisible para el usuario y, interceptando los c\u00f3digos de confirmaci\u00f3n de las notificaciones entrantes, suscrib\u00eda al usuario a servicios innecesarios que abonaba a trav\u00e9s del contrato del operador de telefon\u00eda m\u00f3vil.<\/p>\n

1,5 millones de descargas: spyware chino<\/h2>\n

En julio de 2023, se descubri\u00f3 que Google Play alojaba<\/a> dos administradores de archivos: uno con un mill\u00f3n de descargas y otro con medio mill\u00f3n. A pesar de las garant\u00edas de los desarrolladores de que las aplicaciones no recopilaban ning\u00fan dato, los investigadores descubrieron que las dos transmit\u00edan mucha informaci\u00f3n del usuario a servidores en China, incluidos datos como los contactos, la geolocalizaci\u00f3n en tiempo real, informaci\u00f3n sobre el modelo de tel\u00e9fono y la red de telefon\u00eda, fotos, audio, archivos de v\u00eddeo y m\u00e1s.<\/p>\n

\"Administradores<\/a>

Administradores de archivos en Google Play con spyware chino en su interior. Fuente<\/a><\/p><\/div>\n

Para evitar que el usuario las desinstale, las aplicaciones infectadas ocultaban sus iconos de escritorio, lo cual es otra t\u00e1ctica com\u00fan empleada por los creadores de malware m\u00f3vil.<\/p>\n

2,5 millones de descargas: adware en segundo plano<\/h2>\n

En un caso reciente de detecci\u00f3n de malware en Google Play en agosto de 2023, los investigadores encontraron<\/a> hasta 43 aplicaciones \u2015incluidas entre otras TV\/DMB Player, Music Downloader, News y Calendar\u2015 que cargaban anuncios en secreto cuando la pantalla del tel\u00e9fono del usuario estaba apagada.<\/p>\n

\"Las<\/a>

Algunas de las aplicaciones con adware oculto. Fuente<\/a><\/p><\/div>\n

Para poder desarrollar su actividad en segundo plano, las aplicaciones solicitaban al usuario que las a\u00f1adiera a la lista de exclusiones del ahorro de energ\u00eda. Naturalmente, los usuarios afectados sufr\u00edan una reducci\u00f3n de la vida \u00fatil de la bater\u00eda. Estas aplicaciones tuvieron un total combinado de 2,5 millones de descargas, y su p\u00fablico objetivo fue principalmente coreano.<\/p>\n

20 millones de descargas: aplicaciones fraudulentas que prometen recompensas<\/h2>\n

Un estudio publicado a principios de 2023 revel\u00f3 varias aplicaciones sospechosas<\/a> en Google Play con m\u00e1s de 20 millones de descargas entre ellas. Estas aplicaciones se anunciaban principalmente como rastreadores de salud y promet\u00edan a los usuarios recompensas en efectivo por caminar y otras actividades, as\u00ed como por ver anuncios o instalar otras aplicaciones.<\/p>\n

\"Aplicaciones<\/a>

Aplicaciones en Google Play que prometen recompensas por caminar y ver anuncios. Fuente<\/a><\/p><\/div>\n

M\u00e1s concretamente, el usuario recib\u00eda puntos por realizar estas acciones, que supuestamente pod\u00edan convertirse despu\u00e9s en dinero real. El \u00fanico problema era que para obtener una recompensa era necesario acumular una cantidad tan grande de puntos que en la realidad era imposible lograrlo.<\/p>\n

35 millones de descargas: clones de Minecraft con adware en su interior<\/h2>\n

Google Play tambi\u00e9n ha alojado juegos maliciosos este a\u00f1o, y el principal culpable (y no por primera vez<\/a>) es Minecraft, que sigue siendo uno de los t\u00edtulos m\u00e1s populares del mundo. En abril de 2023 se detectaron 38 clones de Minecraft<\/a> en la tienda oficial de Android, con un total de 35 millones de descargas. Estas aplicaciones ocultaban en su interior un adware con un nombre muy pertinente: HiddenAds.<\/p>\n

\"Clon<\/a>

Block Box Master Diamond: el clon m\u00e1s popular de Minecraft infectado por HiddenAds. Fuente<\/a><\/p><\/div>\n

Cuando se abr\u00edan las aplicaciones infectadas, \u201cmostraban\u201d anuncios ocultos sin el conocimiento del usuario. Esto no representaba una amenaza grave en s\u00ed, pero ese funcionamiento podr\u00eda haber afectado al rendimiento del dispositivo y a la duraci\u00f3n de la bater\u00eda.<\/p>\n

Y las aplicaciones infectadas siempre pod\u00edan pasar m\u00e1s adelante a emplear un esquema de monetizaci\u00f3n mucho menos inofensivo. Esta es otra t\u00e1ctica est\u00e1ndar de los creadores de aplicaciones de malware de Android: cambian f\u00e1cilmente entre distintos tipos de actividad maliciosa seg\u00fan la rentabilidad que obtienen en cada momento.<\/p>\n

100 millones de descargas: recopilaci\u00f3n de datos y fraude del clic<\/h2>\n

Tambi\u00e9n en abril de 2023, se encontraron otras 60 aplicaciones<\/a> en Google Play infectadas con un adware que los investigadores denominaron Goldoson. En conjunto, estas aplicaciones tuvieron m\u00e1s de 100 millones de descargas en Google Play y otros ocho millones en la popular tienda coreana ONE<\/a>.<\/p>\n

Este malware tambi\u00e9n \u201cmostraba\u201d anuncios ocultos al abrir p\u00e1ginas web dentro de la aplicaci\u00f3n en segundo plano. Adem\u00e1s, las aplicaciones maliciosas recopilaban datos del usuario, como informaci\u00f3n sobre las aplicaciones instaladas, la geolocalizaci\u00f3n, las direcciones de los dispositivos conectados al tel\u00e9fono a trav\u00e9s de Wi-Fi y Bluetooth, y m\u00e1s.<\/p>\n

Al parecer, Goldoson se hab\u00eda infiltrado en todas esas aplicaciones junto con una biblioteca infectada empleada por muchos desarrolladores leg\u00edtimos que simplemente no sab\u00edan que conten\u00eda esta funcionalidad maliciosa. Y esto no es poco com\u00fan: a menudo, los creadores de malware no desarrollan ni publican aplicaciones en Google Play, sino que crean bibliotecas infectadas de este tipo que terminan en la tienda junto con las aplicaciones de otros desarrolladores.<\/p>\n

451 millones de descargas: anuncios de minijuegos y recolecci\u00f3n de datos<\/h2>\n

Terminamos con el caso m\u00e1s grande del a\u00f1o: en mayo de 2023, un equipo de investigadores encontr\u00f3<\/a> la friolera de 101 aplicaciones no elegibles en Google Play, con un total de descargas combinadas de 421 millones. Al acecho dentro de todas y cada una de ellas estaba una biblioteca con el c\u00f3digo SpinOk.<\/p>\n

Poco despu\u00e9s de eso, otro equipo de investigadores descubri\u00f3 92 aplicaciones m\u00e1s<\/a> en Google Play que ten\u00edan la misma biblioteca con SpinOk, pero con un n\u00famero un poco m\u00e1s modesto de descargas: 30 millones. En total, se encontraron casi 200 aplicaciones que contienen el c\u00f3digo SpinOK, con un total de 451 millones de descargas desde Google Play entre todas.Este es otro caso en el que se entreg\u00f3 c\u00f3digo peligroso a aplicaciones desde una biblioteca de terceros.<\/p>\n

\"Minijuegos<\/a>

Minijuegos que promet\u00edan \u201crecompensas\u201d que mostraban a los usuarios aplicaciones que conten\u00edan el c\u00f3digo SpinOk Fuente<\/a><\/p><\/div>\n

Aparentemente, la tarea de las aplicaciones era mostrar minijuegos intrusivos que promet\u00edan recompensas en efectivo. Pero eso no era todo: la biblioteca SpinOK era capaz de recopilar y enviar datos y archivos del usuario al servidor de mando y control de sus desarrolladores en segundo plano.<\/p>\n

C\u00f3mo protegerse contra el malware en Google Play<\/h2>\n

Por supuesto, no hemos cubierto todos los casos de aplicaciones maliciosas que llegaron a Google Play en 2023, sino solo los m\u00e1s llamativos. La principal conclusi\u00f3n de esta publicaci\u00f3n est\u00e1 clara: el malware en Google Play es mucho m\u00e1s com\u00fan de lo que cualquiera de nosotros quisiera pensar: \u00a1las aplicaciones infectadas tienen un total de descargas combinadas de m\u00e1s de 500 millones!<\/p>\n

No obstante, las tiendas oficiales siguen siendo, con diferencia, las fuentes m\u00e1s seguras. Descargar aplicaciones en otro lugar es mucho m\u00e1s peligroso, por lo que te recomendamos encarecidamente que no lo hagas<\/a>. Pero tambi\u00e9n debes tener cuidado en las tiendas oficiales:<\/p>\n