Descargar aplicaciones desde Google Play debería ser una de las formas más seguras de obtener software en tu dispositivo Android. Sin embargo, un reciente ataque masivo ha demostrado que incluso las plataformas más confiables no están exentas de riesgos. El malware conocido como "Necro" ha logrado infiltrar la tienda oficial de Android y afectar a más de 11 millones de usuarios en todo el mundo, pasando desapercibido bajo la apariencia de apps legítimas. ¿Cómo lo hizo? Utilizando kits de desarrollo de software (SDK) maliciosos integrados en apps legítimas, mods de juegos de Android y versiones modificadas de aplicaciones populares como Spotify, WhatsApp y Minecraft.
Una vez instalado en el dispositivo, Necro descarga varias cargas útiles y activa diferentes complementos maliciosos. Entre ellos se encuentran:
- Adware que abre enlaces invisibles en segundo plano usando WebView (Island, Cube SDK).
- Módulos que descargan y ejecutan archivos JavaScript y DEX (Happy SDK, Jar SDK).
- Herramientas para fraudes en suscripciones (Happy SDK, complemento web, Tap).
- Mecanismos proxy que utilizan dispositivos infectados para enrutar tráfico malicioso (NProxy).
Todo esto convierte a Necro en una amenaza sofisticada y extremadamente peligrosa para los usuarios de Android, mostrando lo fácil que puede ser infectar dispositivos a través de canales que muchos creen seguros.
Te podrá interesar leer: Nuevo Malware NGate Clona Tarjetas de Crédito
Troyano Necro en Google Play
El troyano Necro ha logrado colarse en Google Play a través de aplicaciones populares, y los investigadores de Kaspersky fueron quienes descubrieron esta amenaza en dos apps con una gran cantidad de usuarios.
La primera es Wuta Camera, una app de edición y embellecimiento de fotos, con más de 10 millones de descargas. Según los expertos, Necro apareció en la versión 6.3.2.148 y permaneció hasta la 6.3.6.148, cuando Kaspersky notificó a Google sobre el problema. Aunque el troyano fue eliminado en la versión 6.3.7.138, cualquier carga maliciosa que se instalara en versiones anteriores podría seguir activa en los dispositivos afectados.
La segunda aplicación involucrada es Max Browser, creada por 'WA message recover-wamr', que acumuló más de un millón de descargas antes de ser retirada de Google Play tras la advertencia. La última versión del navegador, 1.2.0, aún contiene el troyano Necro, lo que significa que no hay una actualización limpia disponible. Por lo tanto, se recomienda que los usuarios desinstalen esta app de inmediato y busquen alternativas seguras.
Ambas aplicaciones fueron infectadas a través de un SDK publicitario malicioso llamado Coral SDK, que utilizó técnicas avanzadas como la ofuscación para ocultar sus actividades, y esteganografía para descargar el malware oculto en imágenes PNG que parecían inofensivas. Google ha confirmado que está al tanto de estas aplicaciones y está investigando el asunto para tomar las medidas necesarias.
Conoce más sobre: Evita apps espía móviles con la regla 'Una al día'
Fuentes Externas Oficiales
Fuentes externas oficiales han señalado que fuera de la Play Store, el troyano Necro también se está propagando a través de versiones modificadas de aplicaciones populares, conocidas como "mods", que se distribuyen en sitios web no oficiales.
Según Kaspersky, algunos de los ejemplos más comunes son los mods de WhatsApp, como GBWhatsApp y FMWhatsApp, que prometen mayor control de privacidad y más opciones para compartir archivos. Otro mod afectado es Spotify Plus, que ofrece acceso gratuito a funciones premium sin anuncios.
El informe también menciona mods infectados de Minecraft y de otros juegos populares como Stumble Guys, Car Parking Multiplayer, y Melon Sandbox. En todos estos casos, el comportamiento del troyano Necro es similar: muestra anuncios en segundo plano para generar ingresos fraudulentos, instala aplicaciones sin el consentimiento del usuario y utiliza WebViews invisibles para interactuar con servicios pagos.
Dado que los sitios web no oficiales de Android no suelen ofrecer datos confiables sobre el número de descargas, no se puede determinar con exactitud cuántos dispositivos han sido infectados por esta nueva ola de Necro, aunque en Google Play se estima que al menos 11 millones de dispositivos fueron comprometidos.
Te podrá interesar leer: Seguridad Móvil: EMM y MDM en Acción
Conclusión
El caso del malware Necro es un claro recordatorio de que ninguna plataforma, por segura que parezca, es completamente inmune a las amenazas cibernéticas. La capacidad del malware para infiltrarse en Google Play y afectar a millones de usuarios demuestra que los cibercriminales están constantemente buscando nuevas formas de explotar vulnerabilidades.
Afortunadamente, los usuarios pueden tomar varias medidas preventivas para minimizar el riesgo de infección. Mantenerse informado, revisar los permisos de las aplicaciones, utilizar software de seguridad y descargar aplicaciones solo de fuentes confiables son pasos cruciales para protegerse de estas amenazas.