Si bien Google ha mejorado su tienda de aplicaciones con la capacidad para detectar aquellas aplicaciones maliciosas para que no lleguen ni siquiera a listarse dentro de la tienda, en varias ocasiones se les acaban escapando apps fraudulentas.

Esto acaba de volver a pasar con aplicaciones que han sido descargadas hasta más de 300.000 veces hasta que se ha descubierto su verdadero objetivo, comentan desde Arstechnica.

Y es que estas aplicaciones escondían troyanos bancarios que eran capaces de desviar contraseñas de los usuarios y hasta códigos de autenticación de dos factores a servidores externos. Lo más preocupante es que también registraban pulsaciones de teclas y hasta tomaban capturas de pantalla.

Hay decenas de aplicaciones con este troyano, la mayoría haciéndose pasar por entrenamientos para gimnasio, también escáneres QR, PDF y carteras de criptomonedas, perteneciendo hasta a cuatro familias de malware de Android que se han distribuido durante estos cuatro últimos meses en multitud de países, incluido España.

Así lo explican los investigadores de la empresa de seguridad móvil ThreatFabric en un comunicado, donde señalan que se trata de campañas de troyanos llevadas a cabo de forma inteligente.

Y es que primero estas aplicaciones contaban con una versión benigna durante una temporada larga, para que los usuarios se las instalaran, y pudieran dejar buenas puntuaciones en la tienda.

Pero cuando ya los ciberdelincuentes vieron que las aplicaciones habían alcanzado una gran cuota de instalaciones, empezaron a lanzar ventanas emergentes para que los usuarios se actualizaran a nuevas versiones fraudulentas para, por ejemplo, recibir muchas más funcionalidades extra.

De esta manera los ciberdelincuentes se aseguraban primero la confianza de los usuarios ofreciéndoles una aplicación que hacía lo que debía hacer, pero que con el paso del tiempo empezaba a infectar mediante actualizaciones externas. 

Los investigadores también explican que no todo el mundo recibía el troyano bancario, sino que se iban lanzando distintas campañas de malware y, según la localización del dispositivo, se activaba el troyano o no.

Esta increíble atención dedicada a evadir la atención no deseada hace que la detección automatizada de malware sea menos confiable“, explica en la publicación ThreatFabric.

La familia de malware responsable del mayor número de infecciones se conoce como Anatsa y se trata de un troyano bancario de Android muy avanzado que incluye una variedad de capacidades, incluido el acceso remoto y sistema de transferencia automática. Hay otras tres familias de malware encontradas por los investigadores como Alien, Hydra y Ermac.

En total los investigadores encontraron 12 aplicaciones de Android que participaron en este fraude con el troyano correspondiente, y son las siguientes:

Troyanos bancarios Google Play

Arstechnica/ThreatFabric

Si reconoces alguna de estas aplicaciones no solo debes eliminarla de tu terminal, sino también cambiar cada una de las contraseñas de tus servicios y sobre todo de las apps bancarias.