Google Elimina Apps Maliciosas de Android con 19 Millones de Descargas

En Google Play lograron infiltrarse 77 aplicaciones maliciosas de Android que, juntas, lograron más de 19 millones de descargas antes de ser eliminadas. Estas apps no eran simples juegos o utilidades inofensivas: en realidad escondían diferentes tipos de malware que ponían en riesgo a millones de usuarios.

El hallazgo fue realizado por el equipo de ThreatLabs de Zscaler, quienes descubrieron la infiltración mientras investigaban una nueva campaña del troyano bancario Anatsa (también conocido como Tea Bot), diseñado para robar credenciales y datos financieros en dispositivos Android.

Lo más preocupante es que la mayoría de las apps (más del 66%) estaban cargadas de adware, mostrando anuncios intrusivos y agotando los recursos del teléfono. Pero no fue lo único: los expertos también detectaron al temido malware Joker, presente en casi una de cada cuatro aplicaciones analizadas, capaz de robar datos sensibles e incluso suscribir a las víctimas a servicios premium sin su consentimiento.

¿Cómo operan Joker, Anatsa, Harly y el peligroso maskware en Android?

Cuando el malware Joker se instala en un dispositivo Android, el control pasa casi por completo a los atacantes. Este virus es capaz de leer y enviar mensajes SMS, tomar capturas de pantalla, hacer llamadas, robar la agenda de contactos, acceder a la información del teléfono e incluso suscribir al usuario a servicios premium sin que se dé cuenta.

Pero Joker no fue el único problema. Los investigadores también detectaron la presencia de maskware, un tipo de aplicación maliciosa que se camufla como si fuera una app común y corriente. Aparenta funcionar de manera normal, pero en segundo plano puede robar contraseñas, datos bancarios, ubicación, SMS y otra información sensible.

En muchos casos, los ciberdelincuentes lo utilizan como una puerta trasera para instalar más malware en el dispositivo.

Durante la investigación, se descubrió además una variante de Joker conocida como Harly. Esta se presenta como una aplicación legítima, pero esconde un código malicioso profundamente incrustado, diseñado para pasar inadvertido durante las revisiones de seguridad de Google Play.

Conoce más sobre: Nuevo Malware Android se Disfraza de Antivirus del FSB Ruso

El troyano bancario Anatsa no deja de crecer

El troyano Anatsa, también conocido como TeaBot, sigue evolucionando y aumentando su alcance. La versión más reciente amplió su lista de objetivos: ahora intenta comprometer 831 aplicaciones bancarias y de criptomonedas, frente a las 650 que atacaba anteriormente. Su propósito es claro: robar credenciales financieras y datos sensibles de los usuarios.

Para lograrlo, los ciberdelincuentes se apoyan en una aplicación trampa llamada “Lector de documentos – Administrador de archivos”. Aunque a simple vista parece una herramienta legítima, después de la instalación descarga de manera silenciosa la carga maliciosa de Anatsa, lo que le permite evadir los filtros de seguridad de Google Play y pasar desapercibida hasta infectar el dispositivo.

Aplicación troyana Anatsa en Google Play (Fuente: Zscaler)

En esta nueva campaña, los atacantes cambiaron de estrategia. Antes usaban la carga remota de código dinámico (DEX), pero ahora optan por algo más directo: instalar la carga maliciosa desde el propio dispositivo, descomprimiéndola a partir de archivos JSON y eliminando cualquier rastro después.

Para evitar ser detectados, aplican varias técnicas avanzadas:

1. Archivos APK malformados, diseñados para confundir el análisis estático.

2. Cifrado de cadenas con DES en tiempo de ejecución, lo que oculta su código hasta que se ejecuta.

3. Detección de emuladores, que bloquea su comportamiento si nota que está siendo analizado en un entorno de pruebas.

Además, los atacantes cambian de manera periódica los nombres de los paquetes y los hashes, complicando aún más la labor de los sistemas de seguridad que buscan patrones repetidos.

Detección de la emulación (izquierda) y obtención de la carga útil (derecha)

Conoce más sobre: Cómo Defenderse de las Técnicas de Persistencia de Malware con Wazuh

Anatsa y la nueva ola de apps maliciosas en Google Play

El troyano bancario Anatsa sigue demostrando lo peligroso que puede ser. Una de sus tácticas principales es abusar de los permisos de accesibilidad en Android, lo que le permite concederse automáticamente privilegios avanzados dentro del dispositivo.

Con esta ventaja, descarga desde sus servidores páginas de phishing dirigidas a más de 831 aplicaciones bancarias y de criptomonedas, ampliando ahora su alcance a países como Alemania y Corea del Sur. Además, en esta última campaña se incorporó un módulo keylogger, capaz de registrar cualquier pulsación de teclado para robar información genérica.

No es la primera vez que Anatsa se infiltra en Google Play. En julio se descubrió otra campaña donde el malware se hacía pasar por un visor de PDF, logrando más de 50.000 descargas. Casos anteriores incluyen un lector de códigos QR y PDF en mayo de 2024 con 70.000 infecciones, una campaña de Phone Cleaner y PDF en febrero de 2024 con 150.000 descargas, y un visor de PDF en marzo de 2023 que alcanzó 30.000 instalaciones.

Ola de apps maliciosas en Google Play

Anatsa no estuvo solo en esta operación. La mayoría de las 77 apps maliciosas detectadas pertenecían a familias de adware, seguidas por Joker, Harly y distintos tipos de maskware. Estas aplicaciones usaban como gancho categorías muy populares, como herramientas, personalización, entretenimiento, fotografía y diseño, lo que las convierte en un terreno de alto riesgo para los usuarios.

En conjunto, estas apps maliciosas sumaron más de 19 millones de descargas antes de ser eliminadas de la tienda oficial. Google retiró todas tras recibir los reportes, pero el daño ya estaba hecho para millones de dispositivos infectados.

Cómo protegerse de Anatsa y otros troyanos

Para reducir riesgos, los usuarios de Android deben:

1. Activar Google Play Protect, que ayuda a identificar y marcar apps peligrosas.

2. Instalar solo aplicaciones de editores reconocidos y de confianza.

3. Revisar reseñas reales de usuarios y evitar aquellas que tengan comentarios sospechosos o genéricos.

4. Conceder permisos únicamente cuando sean necesarios para la función principal de la app.

En caso de sospecha de infección por Anatsa u otro troyano bancario, lo recomendable es contactar de inmediato al banco o entidad financiera para proteger las credenciales y evitar fraudes.