Retiran casi 100 aplicaciones de Google Play Store por riesgo de malware como Joker, Anatsa y más

La seguridad en el ecosistema Android vuelve a estar bajo el foco tras la detección y eliminación de 77 aplicaciones maliciosas en Google Play Store, que acumularon más de 19 millones de descargas antes de ser descubiertas.

La investigación realizada por el equipo ThreatLabs de Zscaler reveló que estas aplicaciones distribuían una variedad de amenazas, entre ellas el conocido malware Joker, el troyano bancario Anatsa, variantes como Harly y otros códigos dañinos capaces de comprometer los datos más sensibles de los usuarios.

El análisis detallado por Zscaler reveló que más del 66% de las aplicaciones eliminadas contenían adware, diseñado para mostrar publicidad invasiva, afectar el rendimiento del dispositivo y recolectar información sin autorización.

El principal riesgo identificado fue Joker, presente en casi una cuarta parte de las apps detectadas. Este malware puede suscribir a las víctimas a servicios premium sin consentimiento, así como leer y enviar mensajes de texto, realizar llamadas, capturar pantallas y acceder a la lista de contactos del usuario.

La capacidad de infiltración y daño de Joker ha sido documentada durante años, marcando su presencia en sucesivas oleadas a través de la tienda oficial de Android.

Adicionalmente, la campaña maliciosa incluyó variantes como Harly, un código oculto en aplicaciones aparentemente legítimas, que esconde sus funciones nocivas en capas profundas para evadir los filtros de seguridad de Google Play.

Los expertos también identificaron instancias de maskware, programas que simulan tareas útiles y roban información financiera en segundo plano, usando técnicas cada vez más sofisticadas para evitar la detección.

La evolución de los troyanos bancarios destaca en este nuevo episodio. Anatsa, también conocido como TeaBot, presentó una versión capaz de atacar a más de 831 aplicaciones bancarias y de criptomonedas.

Sus desarrolladores emplean técnicas avanzadas, como archivos APK alterados, cifrado dinámico y sistemas para detectar emuladores, con el objetivo de evadir controles automatizados y dirigirse específicamente a usuarios desprevenidos.

Anatsa por ejemplo explota los permisos de accesibilidad de Android para obtener privilegios de administrador, con lo que puede manipular las interfaces, crear páginas de phishing realistas y capturar credenciales bancarias en tiempo real.

Las aplicaciones empleadas para distribuir estos códigos maliciosos frecuentemente se presentaban como herramientas de productividad, utilidades para personalización, apps de entretenimiento o fotografía, que durante días o semanas lograron burlar las revisiones de seguridad de la plataforma.

Ejemplos como “Document Reader – File Manager” descargaron cargas maliciosas desde servidores externos, una táctica empleada para eludir la revisión manual y automatizada de Google.

También se ha identificado la presencia de variantes regionales, como DroidBot, con campañas dirigidas a países específicos de Europa, como España, donde los ataques utilizaban acceso remoto y keyloggers para captar información personal y bancaria de los usuarios.

Google, tras recibir la notificación de Zscaler’s ThreatLabs, actuó rápidamente para retirar las aplicaciones detectadas y reducir el impacto de la amenaza. No obstante, los especialistas recomiendan que cada usuario verifique manualmente sus dispositivos, desinstale cualquier aplicación sospechosa y realice un escaneo completo de seguridad, ya que aquellas apps que ya fueron instaladas pueden permanecer activas si no se eliminan de manera manual.

Algunas recomendaciones para proteger los dispositivos Android en el futuro incluyen:

• Mantener activado Google Play Protect.
• Revisar la procedencia y valoración de cada aplicación antes de instalar.
• Limitar los permisos solo a lo indispensable para el funcionamiento de la app.
• No instalar apps desde fuentes externas a Google Play.
• Contactar al banco y modificar credenciales ante cualquier sospecha de robo de información.

El volumen de descargas alcanzado por estas aplicaciones, junto con su capacidad para evadir los controles de Google, pone de manifiesto la creciente sofisticación de las campañas de ciberdelincuencia móvil.

Aunque Google retiró más de 180 apps peligrosas en distintas operaciones en los últimos años, el riesgo de infección permanece latente y requiere una actitud proactiva de los usuarios en el cuidado de sus datos y dispositivos.