Setenta y siete aplicaciones maliciosas de Android con más de 19 millones de instalaciones estaban entregando múltiples familias de malware a los usuarios de Google Play.
Esta infiltración de malware fue descubierta por Amenazas de zscaler Equipo mientras investiga una nueva ola de infecciones con troyanos bancarios Anatsa (Bot) bancarios dirigidos a dispositivos Android.
Si bien la mayoría de las aplicaciones maliciosas (más del 66%) incluían componentes de adware, el malware Android más común era Joker, que los investigadores encontraron en casi el 25% de las aplicaciones analizadas.
Una vez que Joker Malware está instalado en un dispositivo, puede leer y enviar mensajes de texto, tomar capturas de pantalla, hacer llamadas telefónicas y robar listas de contactos, acceder a la información del dispositivo y suscribir a los usuarios a servicios premium.
Un porcentaje menor de las aplicaciones incluía Maskware, un término utilizado para definir una aplicación maliciosa que se disfraza de sí misma como algo que no generaría ninguna sospecha.
Este tipo de malware puede representar como una aplicación legítima que funciona como se anuncia. Sin embargo, realiza actividades maliciosas en el fondo, como credenciales de robo, información bancaria u otros datos confidenciales (ubicación, SMS). Los cibercriminales también pueden usar Maskware para entregar otro malware.
Los investigadores de ZScaler también encontraron una variante del malware Joker llamado Harly, que viene como una aplicación legítima que tiene una carga útil maliciosa oculta en el código para evitar la detección durante el proceso de revisión.
Subtítulo
En un informe en marzo, la seguridad humana los investigadores dijeron Ese Harly puede esconderse en aplicaciones populares, como juegos, fondos de pantalla, linternas y editores de fotos.
Anatsa Trojan sigue evolucionando
Según ZSCaler, la última versión del troyano de banca Anatsa ha ampliado aún más su alcance de orientación, aumentando el número de aplicaciones bancarias y de criptomonedas a 831, desde 650 anteriormente, que intenta robar datos.
Los operadores de malware usan una aplicación llamada ‘Document Reader – Manager’ como un señuelo, que solo descarga la carga útil de Anatsa maliciosa después de la instalación, para evadir la revisión del código de Google.
Aplicación Anatsa Trojan en Google PlayFuente: Zscaler
La última campaña ha cambiado de la carga de código dinámico de Dex remoto utilizada en el pasado para dirigir la instalación de carga útil, desempacarla de archivos JSON y luego eliminarlos.
En términos de evasión, utiliza archivos APK malformados para romper el análisis estático, el descifrado de cadenas basado en el tiempo de ejecución des y la detección de emulación. Los nombres de los paquetes y los hash también se cambian periódicamente.
Detección de la emulación (izquierda) y obteniendo la carga útil (derecha)Fuente: Zscaler
En cuanto a la capacidad, Anatsa abusa de los permisos de accesibilidad en Android para una auto-concesión de privilegios extensos.
Obtiene páginas de phishing de su servidor para más de 831 aplicaciones, que ahora también cubre Alemania y Corea del Sur, mientras que también se ha agregado un módulo de Keylogger para el robo de datos genéricos.
Esta última campaña de Anatsa sigue otra ola reciente descubierta por amenazfabric en julio, donde el troyano se coló en Google Play haciéndose pasar por un espectador de PDF, logrando 50,000 descargas.
Las campañas de Anatsa más antiguas incluyen un ataque de lector de código PDF y QR en mayo de 2024 que logró 70,000 infeccionesun limpiador de teléfonos y un ataque PDF en febrero de 2024 que se obtuvo 150,000 descargasy otro ataque de espectadores de PDF en marzo de 2023 que logró 30,000 instalaciones.
Wave de aplicaciones maliciosas en Google Play
Además de las aplicaciones maliciosas de Anatsa, Zscaler descubrió esta vez, la mayoría eran familias de adware, seguidas de ‘Joker’, ‘Harly’ y varios Maskware.
«Amenselabz identificó un fuerte aumento en las aplicaciones de adware en la tienda de Google Play junto con malware, como Joker, Harly y Troyanos bancarios como Anatsa», explicó el investigador de Zscaler Himanshu Sharma
«Por el contrario, ha habido una notable disminución en las familias de malware, como FacESTealer y Coper».
Las herramientas y las aplicaciones de personalización representaron más de la mitad de los señuelos utilizados para difundir esas aplicaciones, por lo que estas dos categorías, junto con entretenimiento, fotografía y diseño, deben tratarse como de alto riesgo.
En total, las 77 aplicaciones maliciosas, incluidas las que contienen Anatsa, se descargaron 19 millones de veces de Google Play.
ZScaler informa que Google eliminó todas las aplicaciones maliciosas que descubrieron esta vez de Play Store después de sus informes.
Los usuarios de Android deben asegurarse de que su servicio de Play Protect esté activo en su dispositivo para marcar aplicaciones maliciosas para la eliminación.
En el caso de las infecciones de Anatsa Trojan, se deben tomar medidas separadas con el banco para proteger cuentas o credenciales de banca electrónica potencialmente comprometidas.
Para minimizar el riesgo de los cargadores de malware en Google Play, solo confían en los editores de buena reputación, lea al menos un par de revisiones de usuarios y solo otorgan permisos que están directamente relacionados con la funcionalidad central de la aplicación.
El 46% de los entornos tenían contraseñas agrietadas, casi duplicando desde el 25% el año pasado.
Obtenga el informe PICUS Blue 2025 ahora para ver más hallazgos sobre la prevención, la detección y las tendencias de exfiltración de datos.
Obtenga el informe azul 2025