Christoph Scholz

Un nuevo malware, bautizado como MobSTSPY, robó datos de 100.000 usuarios de Android en 196 países. De acuerdo a Trend Micro, una de las firmas de ciberseguridad más importantes de Japón, los ciberdelincuentes pudieron acceder a credenciales de acceso a cuentas, ubicaciones, archivos y registros de comunicación. Aún más preocupante, el programa se infiltró en Google Play para llegar a la mayor cantidad de dispositivos posibles.

Utilizaron varias aplicaciones gratuitas, entre ellas un clon del popular Flappy Bird y emuladores. Los expertos no han determinado si las apps incluían código malicioso cuando se subieron a la tienda, pero lo más probable es que lo inyectaron por medio de actualizaciones. En cualquier caso, burlaron los protocolos de seguridad de Google para distribuir el malware.

Al instalarse, MobSTSPY comprueba la conexión del terminal para comunicarse con el servidor que extrae los datos. Es posible obtener información del dispositivo infectado, incluyendo su país de registro y el fabricante. Los atacantes pueden robar mensajes SMS o de WhatsApp, la lista de contactos, capturas de pantalla o grabaciones de audio.

Medio millón de usuarios Android descargaron malware desde Google Play

Otra de sus capacidades es iniciar ataques de phishing dentro del dispositivo, ya que puede mostrar ventanas emergentes en todo tipo de webs. Engañan a las víctimas indicándoles que requieren iniciar sesión en Facebook o Google, robando así las credenciales de acceso. Entre los territorios afectados por esta situación encontramos a Estados Unidos, Europa, Medio Oriente y Asia Oriental.

De momento no hay información sobre los hackers responsables, pero todo indica que operan desde la India y regiones cercanas. Afortunadamente, Google ya eliminó las apps involucradas en el ataque, concretamente Flappy Birr Dog, FlashLight, HZPermis Pro Arabe, Win7imulator y Win7 Launcher.

Bharat Mistry, estratega de seguridad en Trend Micro, le dijo al portal ZDNet que "Google impone comprobaciones más estrictas para nuevas apps". Sin embargo, no ponen tanto cuidado en actualizaciones de las mismas, pues el "nivel de verificación se reduce" cuando en un inicio demostraron su confiabilidad. "Una vez que la aplicación haya adquirido cierta credibilidad y tenga una buena distribución entre usuarios, el desarrollador de la app emitirá una actualización que habilita las funciones maliciosas", concluyó Mistry.