Kaspersky publicó el informe, ‘Evolución de las amenazas informáticas en el segundo trimestre de 2024’, que pone de relieve un preocupante incremento en la cantidad y sofisticación de los ciberataques a nivel global, tanto en dispositivos móviles como no móviles.

Asimismo, identificaron que más de 340.000 usuarios fueron afectados por software minero, un tipo de malware que utiliza los recursos del ordenador de la víctima para minar criptomonedas sin su conocimiento. Esta amenaza sigue en auge, ya que los ciberdelincuentes buscan formas de generar ingresos sin que las víctimas se den cuenta.

En cuanto a las amenazas móviles, el informe de Kaspersky también destaca un incremento significativo en las amenazas dirigidas a dispositivos móviles, que abarcan desde troyanos bancarios hasta software no deseado que compromete la privacidad de los usuarios. 

Dos informes adicionales titulados Virología móvil y Evolución de las amenazas informáticas en el tercer trimestre de 2024, concluyen un apreciable incremento de la tendencia hacia una mayor actividad de los troyanos bancarios móviles, y los atacantes siguieron intentando distribuir malware a través de tiendas de aplicaciones oficiales como Google Play.

De todas las amenazas detectadas, el malware Joker, también conocido como Bread, ha sido el más recurrente, representando el 38% de las aplicaciones maliciosas descubiertas, de acuerdo con un informe de Zscaler, la otra firma contratada por Google para la revisión del almacén de aplicaciones. Este malware, activo desde 2017, se especializa en suscribir a las víctimas a servicios premium de facturación sin su conocimiento. Esto significa que, una vez que el malware se instala en el dispositivo, las víctimas empiezan a recibir cargos inesperados en sus facturas de telefonía móvil, lo que puede resultar en pérdidas económicas considerables.

Lo más preocupante es que Joker se esconde en aplicaciones que aparentan ser inofensivas, como lectores de PDF, escáneres de códigos QR o editores de fotos. Los usuarios, al descargar estas apps, no sospechan que detrás de una funcionalidad aparentemente legítima se esconde un malware diseñado para vaciar sus cuentas bancarias.

A pesar de que Google elimina las aplicaciones maliciosas cuando se descubren, Joker sigue reapareciendo en nuevas apps disfrazadas de útiles herramientas. Por ello, es crucial que los usuarios revisen cuidadosamente qué aplicaciones instalan en sus dispositivos y que verifiquen la procedencia y las opiniones de otros usuarios antes de descargarlas.

La constante aparición de anuncios es producto del adware, que constituye el 35% de las aplicaciones maliciosas detectadas. Este tipo de malware es menos dañino que Joker, pero igualmente molesto y perjudicial.

El adware se dedica a mostrar anuncios fraudulentos en forma de ventanas emergentes, imágenes o videos que aparecen en cualquier momento, interfiriendo con el uso normal del dispositivo.

Su propósito es generar ingresos para los atacantes a través de la visualización forzada de anuncios. Aunque puede no parecer tan peligroso como Joker, puede ralentizar considerablemente el rendimiento del teléfono, aumentar el consumo de datos y exponer los datos de navegación a terceros.

Otras amenazas que no se deben ignorar son los stealers como Facestealer y SparkCat, malwares que representan el 48% de las detecciones en la Google Play Store. El primero es un software malicioso diseñado para robar credenciales de inicio de sesión de Facebook y Telegram, poniendo en grave riesgo la seguridad de las cuentas de los usuarios.

Dado el alto valor de la información personal contenida en las redes sociales, un malware como Facestealer representa una amenaza significativa no solo para la privacidad de los usuarios, sino también para su seguridad financiera y social. SparkCat, este malware actualmente está configurado para robar datos de carteras criptográficas, pero podría reutilizarse fácilmente para robar cualquier otra información valiosa.

La galería del teléfono inteligente puede contener fotografías y capturas de pantalla de información importante que se guardan allí por motivos de seguridad o conveniencia, como documentos, acuerdos bancarios o frases de seguridad para recuperar carteras de criptomonedas. Todos estos datos pueden ser robados por la aplicación maliciosa.

Se ha detectado en aplicaciones como linternas, lectores de PDF, optimizadores de batería. Le siguen las aplicaciones de personalización, como los fondos de pantalla o teclados virtuales y las de fotografía y descarga de videos. La razón por la que estas categorías son tan vulnerables es que suelen ofrecer servicios que muchos usuarios buscan de manera frecuente, y la mayoría asume que las ofrecidas en la Google Play Store han sido verificadas y son seguras.

También, los informes de Kaspersky y Zscaler señalan un aumento preocupante en el malware bancario y de espionaje, que pone en riesgo no solo las finanzas de los usuarios, sino también su privacidad.

Este tipo de malware busca acceder a las cuentas bancarias de las víctimas o robar información confidencial, como mensajes, fotos y ubicaciones.

En la tienda de aplicaciones de Google se pueden encontrar más de tres millones de aplicaciones únicas, la mayoría de las cuales se actualizan regularmente, y examinarlas todas a fondo es algo que excede los recursos de hasta una de las empresas más grandes del mundo. Los creadores de aplicaciones maliciosas son conscientes de esto, y por eso han desarrollado una serie de técnicas para infiltrar sus creaciones en Google Play. Los expertos de Kaspersky analizaron los casos más señalados de 2023 de aplicaciones maliciosas que han sido comercializadas en la tienda oficial de Google.

Como modus operandi puede señalarse que los ciberdelincuentes publican una aplicación inofensiva en la tienda para asegurarse que pasará todos los controles de moderación. Posteriormente, cuando ha alcanzado una base de usuarios y cierta reputación, se modifica con una funcionalidad maliciosa que se introduce a través de una actualización, tal es el caso de iRecorder, una intuitiva aplicación para grabar la pantalla para teléfonos Android, se subió a Google Play en septiembre de 2021. Posteriormente, en agosto de 2022, sus desarrolladores añadieron una funcionalidad maliciosa: el código del troyano de acceso remoto AhMyth, que provocaba que los teléfonos de todos los usuarios que habían instalado la aplicación grabaran sonido desde el micrófono cada 15 minutos y lo enviaran al servidor de los creadores de la app.

También en mayo de 2023, los expertos encontraron varias aplicaciones en Google Play infectadas con el troyano de suscripción Fleckpe. Curiosamente, estas aplicaciones fueron subidas por desarrolladores diferentes. Y esta es otra táctica común: los ciberdelincuentes crean numerosas cuentas de desarrollador en la tienda para que, incluso si los moderadores les bloquean alguna, simplemente puedan subir una aplicación similar a otra de sus cuentas.

Cuando la aplicación infectada se ejecutaba, la carga útil maliciosa principal se descargaba en el teléfono de la víctima, tras lo cual el troyano se conectaba al servidor de mando y control y transfería la información del país y del operador de telefonía. Gracias a esta información, el servidor proporcionaba instrucciones sobre cómo proceder. A continuación, Fleckpe abría páginas web con suscripciones de pago en una ventana del navegador invisible para el usuario y, interceptando los códigos de confirmación de las notificaciones entrantes, suscribía al usuario a servicios innecesarios que abonaba a través del contrato del operador de telefonía móvil.

En julio de 2023, se descubrió que Google Play alojaba dos apps maliciosas para la administración de archivos: una con un millón de descargas y la otra con medio millón. A pesar de las garantías de los desarrolladores de que las aplicaciones no recopilaban ningún dato, los investigadores descubrieron que las dos transmitían mucha información del usuario a servidores en China, incluidos datos como los contactos, la geolocalización en tiempo real, información sobre el modelo de teléfono y la red de telefonía, fotos, audio, archivos de vídeo y más. Para evitar que el usuario las desinstale, las aplicaciones infectadas ocultaban sus iconos de escritorio, lo cual es otra táctica común empleada por los creadores de malware móvil.

En un caso reciente de detección de malware en Google Play en agosto de 2023, los investigadores encontraron hasta 43 aplicaciones ―incluidas, entre otras, TV/DMB Player, Music Downloader, News y Calendar― que cargaban anuncios en secreto cuando la pantalla del teléfono del usuario estaba apagada. Para poder desarrollar su actividad en segundo plano, las aplicaciones solicitaban al usuario que las añadiera a la lista de exclusiones del ahorro de energía.

Google Play también ha alojado juegos maliciosos este año, la mayoría disfrazados como Minecraft, que sigue siendo uno de los títulos más populares del mundo.

Otras aplicaciones ocultan en su interior un adware con un nombre muy pertinente: HiddenAds. Cuando se abren las aplicaciones infectadas, “mostraban” anuncios ocultos sin el conocimiento del usuario. Esto no representaba una amenaza grave en sí, pero ese funcionamiento afecta al rendimiento del dispositivo y a la duración de la batería. Las aplicaciones infectadas siempre podrían pasar más adelante a emplear un esquema de monetización mucho menos inofensivo. Esta es otra táctica estándar de los creadores de aplicaciones de malware de Android: cambian fácilmente entre distintos tipos de actividad maliciosa según la rentabilidad que obtienen en cada momento.

Kaspersky y Zscaler han anunciado la culminación de la limpieza en el mes de febrero de 2025, de las tiendas oficiales de aplicaciones y la mejora y actualización de las aplicaciones que verifican la seguridad como Play Protect, no obstante, debido a los modus operandi encontrados recomiendan:

• Pese a todo, las tiendas oficiales siguen siendo las únicas fuentes seguras para descargar apps; hacerlo en otro lugar es mucho más peligroso, por lo que recomiendan no hacerlo.
• Cada vez que se descargue una aplicación nueva, debe revisarse atentamente la página en la tienda para asegurar de que sea una aplicación genuina. Prestar especial atención al nombre del desarrollador. Con frecuencia, los ciberdelincuentes clonan aplicaciones populares y las publican en Google Play con nombres, iconos y descripciones similares para atraer a los usuarios.
• No dejarse guiar por la calificación general de la aplicación, ya que es fácil alterarla. También resulta sencillo falsificar las críticas favorables. Es mejor que centrarse en las críticas negativas con calificaciones bajas; ahí es donde generalmente se podrá encontrar una descripción de todos los problemas relacionados con la aplicación.
• Activar los antivirus nativos del teléfono y utilizar soluciones antivirus.

Por citar solo 3 ejemplos, Xiaomi, incluye en sus sistemas una solución para detectar y eliminar cualquier archivo infectado, malware o posible virus, nombrada Seguridad o Security, en el caso de Samsung se dispone de la Protección de Aplicaciones que debe ser activada desde los ajustes y esta desarrollada por McAfee y para el caso de los móviles de Huawei, se cuenta con un antivirus desarrollado por Avast al que se accede a través de la aplicación Optimizador.

Fuentes consultadas.

https://securelist.lat/mobile-threat-report-2024/99586/

https://securelist.lat/malware-report-q3-2024-mobile-statistics/99331/

https://securelist.lat/sparkcat-stealer-in-app-store-and-google-play/99556/