Detectan apps con malware en Google Play que propagaban el troyano bancario Anatsa

Pánico en Google Play: descubren apps con el troyano bancario más peligroso del momento

por

El equipo de investigación ThreatLabz de Zscaler ha lanzado una nueva alerta sobre la presencia de aplicaciones maliciosas en Google Play que estaban siendo utilizadas para distribuir el peligroso troyano bancario Anatsa, también conocido como TeaBot.

Estas apps se camuflaban como herramientas aparentemente inofensivas —lectores de documentos, visores de PDF o escáneres de códigos QR— y lograron burlar los filtros de seguridad de la tienda oficial de Android antes de ser eliminadas.

Según Zscaler, Anatsa ha ampliado sus objetivos y ahora ataca a más de 830 instituciones financieras y plataformas de criptomonedas, frente a las 650 que se conocían previamente. Entre sus nuevas víctimas figuran bancos en países donde no había tenido actividad hasta ahora, como Alemania o Corea del Sur.

En campañas recientes, también se han detectado infecciones en Norteamérica, con una aplicación fraudulenta que alcanzó las 50,000 descargas en EE.UU. y Canadá.

Cómo opera el troyano

El malware se propaga a través de un sistema de droppers: las aplicaciones parecen legítimas al principio, pero una vez instaladas descargan un componente adicional desde un servidor remoto que activa el troyano.

Un ejemplo fue la app “Document Reader – File Manager”, retirada de Google Play tras el reporte.

Entre sus capacidades más peligrosas destacan:

  • Robo de credenciales bancarias mediante pantallas superpuestas sobre apps legítimas.
  • Registro de pulsaciones de teclado.
  • Abuso de permisos de accesibilidad para tomar el control completo del dispositivo.

Los investigadores señalan que los ciberdelincuentes perfeccionan constantemente sus métodos de evasión. Anatsa utiliza cifrado DES para ocultar cadenas de texto, modifica archivos APK para evitar análisis y comprueba si el dispositivo es un emulador antes de ejecutar sus funciones. Estas tácticas permiten que el malware permanezca oculto durante más tiempo.

Consecuencias para los usuarios

Las víctimas corren un riesgo real de sufrir:

  • Pérdida de credenciales financieras.
  • Acceso no autorizado a cuentas bancarias o de criptomonedas.
  • Transferencias fraudulentas sin conocimiento del propietario.

Aunque Google eliminó las apps reportadas, la amenaza sigue presente debido a la rapidez con la que los atacantes publican nuevas variantes.

Durante el seguimiento de Anatsa, los investigadores también hallaron 77 apps maliciosas en Google Play con más de 19 millones de instalaciones.

Los hallazgos incluyeron:

  • Adware en el 66% de los casos.
  • El popular malware Joker, presente en casi el 25% de las aplicaciones.
  • Maskware, apps que se disfrazan de herramientas legítimas para pasar desapercibidas.
  • Una variante más sofisticada de Joker llamada Harly, con la carga maliciosa mejor oculta.

Por otro lado, se registró una notable disminución en familias de malware como Facestealer y Coper.

Tras el informe de Zscaler, Google retiró las apps afectadas de su tienda oficial.

Los expertos de Zscaler aconsejan:

  • Descargar aplicaciones solo de desarrolladores de confianza.
  • Mantener activo Google Play Protect.
  • Eliminar apps sospechosas que muestren comportamientos inusuales.
  • Actualizar contraseñas bancarias con frecuencia si se sospecha de una infección.

Publicaciones relacionadas:

  1. Las 10 mejores aplicaciones de Android que no están disponibles en Google Play Store
  2. Este troyano roba credenciales mediante la explotación del antivirus
  3. MysteryBot, el malware para Android que combina keylogger, ransomware y un troyano
  4. ¡Hackers descubren cómo burlar las defensas de Windows y están atacando!

Deja un comentario

¡Obtén un cupón de $60 de Temu aquí !