El malware en Android sigue siendo un problema grave que genera preocupación en Google, la cual ha dedicado esfuerzos en mejorar sus controles de seguridad para evitar que sus usuarios resulten afectados al descargar apps infectadas desde Google Play. Desgraciadamente, los ciberdelincuentes también se encuentran buscando nuevos métodos para evitar ser detectados. Cada vez tienen más creatividad para que sus ataques resulten efectivos.

Trend Micro, una importante firma de seguridad informática, ha descubierto aplicaciones infectadas con un funcionamiento bastante peculiar. Su malware solo funciona cuando el teléfono se mueve. De esta manera puede determinar si la víctima es un dispositivo real o si se trata del emulador usado por Google para detectar la activación de código malicioso. Por supuesto, el entorno de pruebas de la compañía solo se ejecuta en computadoras, por lo que el malware pasa totalmente desapercibido.

Una vez que detecta movimiento en el teléfono, se conectan con un servidor de control y comando, el cual se encuentra escondido en solicitudes web de Telegram y Twitter. La investigación señala que los "dominios cambian las direcciones IP con bastante frecuencia y pueden haber cambiado hasta seis veces desde octubre de 2018, lo que demuestra lo activa que es esta campaña en particular".

https://hipertextual.com/2019/01/nuevo-malware-infecto-miles-usuarios-android-google-play

Posteriormente, el servidor envía una notificación falsa avisando que está disponible una nueva actualización del sistema. Al aceptarla, lo que en realidad se descarga es un troyano llamado Anubis, que puede leer todo lo que el usuario escribe en su teclado, incluyendo información sensible como las credenciales de acceso a cuentas o la información bancaria.

Sus funciones no se limitan solo a capturar la escritura, también tiene la capacidad de acceder a la lista de contactos o datos de ubicación, iniciar una grabación de audio, enviar mensajes SMS, realizar llamadas y acceder a fuentes de almacenamiento externo. La información obtenida se envía al mismo servidor donde se aloja Anubis.

Hasta el momento se han descubierto dos apps involucradas: Currency Converter y BatterySaverMobi. La primera alcanzó las 5.000 descargas y calificaciones muy positivas, no obstante, los investigadores creen que esas revisiones podrían ser un fraude para atraer la atención de más público. Google eliminó ambas apps en cuanto Trend Micro publicó su reporte.

No es la primera vez que hackers utilizan Anubis para robar datos. El pasado Junio, IBM X-Force encontró que la app Google Protect que cumplía con la misma función. El informe de Trend Micro revela que el malware se ha distribuido en 93 países, intentando obtener la información bancaria de 377 aplicaciones financieras.

Es preocupante que Google se siga enterando de estas situaciones por vías externas. La recomendación que podemos hacer es revisar cuidadosamente cualquier app antes de descargarla. Si las reseñas y comentarios generan dudas, lo mejor es evitarlas y buscar alternativas.