Redazione RHC : 26 agosto 2025 14:17
Investigadores de Zscaler descubrieron que 77 aplicaciones maliciosas para Android, con un total combinado de más de 19 millones de instalaciones, distribuían diversas familias de malware en la tienda oficial de Google Play.
«Identificamos un aumento drástico en el número de aplicaciones publicitarias maliciosas en Google Play Store, junto con amenazas como Joker, Harly y troyanos bancarios como Anatsa», escriben los expertos. «Al mismo tiempo, se ha observado una notable disminución de la actividad de familias de malware como Facestealer y Coper.»
Los investigadores descubrieron la campaña mientras investigaban una nueva ola de infecciones del troyano bancario Anatsa (también conocido como Tea Bot) dirigidas a dispositivos Android.
Aunque la mayoría de las aplicaciones maliciosas (más del 66%) contenían adware, la amenaza más común fue Joker, presente en casi el 25% de las aplicaciones analizadas. Una vez instalado en el dispositivo de la víctima, Joker puede leer y enviar mensajes SMS, tomar capturas de pantalla, realizar llamadas, robar listas de contactos, acceder a la información del dispositivo y suscribir a los usuarios a servicios. premium.
Se ha descubierto que un porcentaje menor de aplicaciones maliciosas se camuflan en diversos programas inofensivos (los investigadores han denominado a estas amenazas «maskware» o «software de máscara»). Estas aplicaciones simulan ser legítimas y realizan las funciones indicadas en sus descripciones, pero realizan actividades maliciosas en segundo plano.
También se ha descubierto una variante del malware Joker llamada Harly, una aplicación legítima con una carga maliciosa oculta en su código para evitar ser detectada. En marzo de este año, Human Security informó que Harly podría estar oculto en aplicaciones populares como juegos, fondos de pantalla, linternas y editores de fotos.
El informe de Zscaler señala que la última versión de Anatsa Banker es capaz de atacar aún más aplicaciones bancarias y de criptomonedas, aumentando el número de 650 a 831. Por lo tanto, el malware descarga páginas de phishing y un módulo keylogger desde su servidor de comando y control, y ahora puede atacar a usuarios de Alemania y Corea del Sur.
Los autores del malware utilizan una aplicación llamada Document Reader – File Manager como cebo, que descarga Anatsa solo después de la instalación para evadir los controles de Google. Además, en la nueva campaña, los atacantes han pasado de la carga dinámica remota de código DEX a la instalación directa del malware, descomprimiéndolo de archivos JSON y eliminándolo.
Para evitar el análisis estático, el troyano utiliza archivos APK corruptos, cifrado DES de cadenas durante la ejecución y es capaz de detectar la emulación. Los nombres de los paquetes y los hashes también cambian periódicamente. Los analistas de Zscaler informan que Google ha eliminado todas las aplicaciones maliciosas detectadas de la tienda oficial.
RedazioneGoogle ha presentado una nueva herramienta de IA para Drive para escritorio. Se dice que el modelo se ha entrenado con millones de muestras reales de ransomware y puede suspender la sincronización pa...
Expertos de Palo Alto Networks han identificado un nuevo grupo de hackers vinculado al Partido Comunista Chino. Unit 42, la división de inteligencia de amenazas de la compañía con sede en Californi...
Los sistemas de Inteligencia Artificial Generativa (GenAI) están revolucionando la forma en que interactuamos con la tecnología, ofreciendo capacidades extraordinarias en la creación de texto, imá...
La Agencia de Seguridad de Infraestructura y Ciberseguridad de Estados Unidos (CISA) ha añadido una vulnerabilidad crítica en la popular utilidad Sudo, utilizada en sistemas Linux y similares a Unix...
El Departamento de Justicia de EE. UU. recibió autorización judicial para realizar una inspección remota de los servidores de Telegram como parte de una investigación sobre explotación infantil. ...
