Las aplicaciones maliciosas de Android que robaron datos financieros confidenciales se descargaron más de 300,000 veces de la tienda Google Play, según un informe publicado por investigadores de ThreatFabric. Descubrieron que a los usuarios les robaban sus datos bancarios a través de aplicaciones aparentemente benignas. Las contraseñas de usuario, los códigos de autenticación de dos factores, las pulsaciones de teclas registradas y más se desviaron a través de aplicaciones que se hicieron pasar por escáneres QR, escáneres de PDF o carteras de criptomonedas. Estas aplicaciones son principalmente parte de cuatro familias de malware: Anatsa, Alien, Hydra y Ermac. Google ha intentado abordar el problema introduciendo varias restricciones para apoderarse de la distribución de aplicaciones fraudulentas. Esto ha motivado a estos ciberdelincuentes a desarrollar métodos ingeniosos para eludir las restricciones de la tienda Google Play.

En su publicación, ThreatFabric explicó que dichas aplicaciones solo introducen el contenido de malware a través de fuentes de terceros después de ser descargadas de la tienda Google Play. Según se informa, estas aplicaciones atraen a los usuarios al ofrecer contenido adicional a través de actualizaciones de terceros. En algunos casos, se dice que los operadores de malware han activado manualmente actualizaciones maliciosas después de rastrear la ubicación geográfica de los dispositivos infectados.

Las aplicaciones maliciosas de Android en la tienda Google Play detectadas por los investigadores incluyeron QR Scanner, QR Scanner 2021, PDF Document Scanner, PDF Document Scanner Free, Two Factor Authenticator, Protection Guard, QR CreatorScanner, Master Scanner Live, CryptoTracker y Gym and Fitness Entrenador.

El mayor perpetrador de tales actividades ha sido la familia de malware Anatsa, según el informe, que se descargó más de 100,000 veces. Estas aplicaciones parecían legítimas, ya que tenían un gran número de críticas positivas y ofrecían la funcionalidad descrita en el momento de su uso. Sin embargo, después de la descarga inicial de Google Play, estas aplicaciones hicieron que los usuarios instalaran actualizaciones de terceros para continuar usándolas. Según los informes, el malware instalado pudo robar datos bancarios e incluso capturar todo lo que se muestra en la pantalla del dispositivo.

Google anunció una publicación de blog en abril en la que destaca los pasos que han tomado para lidiar con aplicaciones tan nefastas. Esto incluyó la reducción del acceso del desarrollador a permisos confidenciales. Sin embargo, según una prueba realizada por el instituto de seguridad de TI alemán AV-Test en julio, Google Play Protect no proporcionó un nivel de seguridad competente en comparación con otros programas antimalware destacados. Solo pudo detectar alrededor de dos tercios de las 20,000 aplicaciones maliciosas que se probaron.

El ingenio de estos operadores de malware ha reducido la confiabilidad de los detectores automáticos de malware, afirma ThreatFabric. Los usuarios deberán estar atentos al acceso que otorgan a las aplicaciones y las fuentes de las que descargan las aplicaciones y sus actualizaciones.