Redazione RHC : 26 agosto 2025 14:17
Investigadores de Zscaler descubrieron que 77 aplicaciones maliciosas para Android, con un total combinado de más de 19 millones de instalaciones, distribuían diversas familias de malware en la tienda oficial de Google Play.
«Identificamos un aumento drástico en el número de aplicaciones publicitarias maliciosas en Google Play Store, junto con amenazas como Joker, Harly y troyanos bancarios como Anatsa», escriben los expertos. «Al mismo tiempo, se ha observado una notable disminución de la actividad de familias de malware como Facestealer y Coper.»
Los investigadores descubrieron la campaña mientras investigaban una nueva ola de infecciones del troyano bancario Anatsa (también conocido como Tea Bot) dirigidas a dispositivos Android.
Aunque la mayoría de las aplicaciones maliciosas (más del 66%) contenían adware, la amenaza más común fue Joker, presente en casi el 25% de las aplicaciones analizadas. Una vez instalado en el dispositivo de la víctima, Joker puede leer y enviar mensajes SMS, tomar capturas de pantalla, realizar llamadas, robar listas de contactos, acceder a la información del dispositivo y suscribir a los usuarios a servicios. premium.
Se ha descubierto que un porcentaje menor de aplicaciones maliciosas se camuflan en diversos programas inofensivos (los investigadores han denominado a estas amenazas «maskware» o «software de máscara»). Estas aplicaciones simulan ser legítimas y realizan las funciones indicadas en sus descripciones, pero realizan actividades maliciosas en segundo plano.
También se ha descubierto una variante del malware Joker llamada Harly, una aplicación legítima con una carga maliciosa oculta en su código para evitar ser detectada. En marzo de este año, Human Security informó que Harly podría estar oculto en aplicaciones populares como juegos, fondos de pantalla, linternas y editores de fotos.
El informe de Zscaler señala que la última versión de Anatsa Banker es capaz de atacar aún más aplicaciones bancarias y de criptomonedas, aumentando el número de 650 a 831. Por lo tanto, el malware descarga páginas de phishing y un módulo keylogger desde su servidor de comando y control, y ahora puede atacar a usuarios de Alemania y Corea del Sur.
Los autores del malware utilizan una aplicación llamada Document Reader – File Manager como cebo, que descarga Anatsa solo después de la instalación para evadir los controles de Google. Además, en la nueva campaña, los atacantes han pasado de la carga dinámica remota de código DEX a la instalación directa del malware, descomprimiéndolo de archivos JSON y eliminándolo.
Para evitar el análisis estático, el troyano utiliza archivos APK corruptos, cifrado DES de cadenas durante la ejecución y es capaz de detectar la emulación. Los nombres de los paquetes y los hashes también cambian periódicamente. Los analistas de Zscaler informan que Google ha eliminado todas las aplicaciones maliciosas detectadas de la tienda oficial.
RedazioneMientras que el auge de los robots en China, el mayor mercado y productor mundial de robots, atrae la atención de la industria global de las tecnologías de la información (TI), la apari...
Martes de parches de agosto: Microsoft publica actualizaciones de seguridad que corrigen 107 vulnerabilidades en los productos de su ecosistema. La actualización incluye correcciones para 90 vuln...
Como parte de las actualizaciones de seguridad del martes de parches de agosto de 2025, se ha corregido una vulnerabilidad crítica de ejecución remota de código (RCE) en el software de ...
29 000 servidores Exchange son vulnerables a la vulnerabilidad CVE-2025-53786, que permite a los atacantes acceder a entornos de nube de Microsoft, lo que podría comprometer por completo el ...
«El sistema de defensa militar Skynet entrará en funcionamiento el 4 de agosto de 1997. Comenzará a autoeducarse, aprendiendo a un ritmo exponencial, y adquirirá consciencia de s&#...
