Pese a que Google quiere que Play Store sea cada vez más seguro, cada vez hay más malware en la tienda de aplicaciones. Nuevas prácticas como el Qrishing, aplicaciones con miles de descargas infectadas de malware, nuevos tipos de troyano y apps que se saltan el filtro de seguridad de Google Play. El panorama no pinta demasiado bien.
Ni siquiera descargando las aplicaciones desde la tienda oficial de aplicaciones nos libramos, y es que se ha encontrado un nuevo tipo de malware que afecta, precisamente, a apps instaladas desde Play Store. Te las bajas desde dentro, te infectas desde fuera. Así es el nuevo método para tratar de robar tus datos bancarios.
Instalas desde dentro, te infectas desde fuera
Una nueva campaña de malware está inyectando troyanos en Android. En concreto, este malware recibe el nombre de SharkBot, y es capaz de robar solicitudes de inicio de sesión mediante la clásica interfaz falsa superpuesta. Este método para obtener las credenciales no es nuevo, pero el método para que los usuarios instalen el malware sí que lo es.
Hasta la fecha, este tipo de malware se inyectaba cuando el usuario accedía a un formulario falso a través de una URL de un mensaje sospechoso o, en cualquier caso, a través de apps descargadas de forma externa.
SharkBot se encuentra en aplicaciones que descargamos desde Play Store y, curiosamente, estas apps están completamente limpias. ¿Cómo nos infectamos, entonces? En el momento que instalamos la app desde Play Store, esta nos pide una actualización. Dicha actualización se instala en APK desde fuera de Play Store, con el permiso REQUEST INSTALL PACKAGES. Una vez aceptamos, hemos instalado un APK malicioso que intercepta SMS para los códigos del 2FA (autenticación en dos pasos).
Este malware está enfocado en bancos de España, Alemania, Reino Unido y otros países europeos, y se esconde en todo tipo de aplicaciones. Pero no todo es SharkBot, otro malware bajo el nombre de Vultur acumula ya más de 100.000 descargas en aplicaciones de finanzas, autenticación y demás.
El modus operandi es casi idéntico. Nos descargamos la app desde Play Store, y al instalarla nos pide que instalemos una nueva versión. Este APK procede de un repositorio externo, y está infectado.
Como siempre indicamos, conviene extremar las precauciones cuando instalamos aplicaciones desde fuera de Play Store. Si hemos instalado la app original en la tienda de Google, la actualización debería llegar también desde dicha tienda, nunca desde fuera. Si no sabemos de dónde procede un APK, es preferible quedarnos sin él a correr riesgos adicionales.
Ver 29 comentarios
29 comentarios
picapeixe
Y ahora a seguir despotricando del férreo control que impone Apple en su Appstore, con actualizaciones que se tienen que bajar desde la misma tienda, no desde una fuente externa donde infectarse.
Y diréis lo que queráis, pero el común de los usuarios no tiene por qué saber de éstas cosas, solo se entera cuando hackean su cuenta y se pregunta ¿como puede permitir esto google?
yoyof
No por nada lo llaman Malwaredroid!
togepix
No toco Android ni con un palo por este motivo.
¿ Como una tienda OFICIAL puede permitir esto una década después ?
El problema de Android se llama GOOGLE, que no controla ni lo más minimo ni siquiera su tienda de aplicaciones.
Una cosa es que se te cuele alguna aplicacion, ( lo ha sufrido Apple y Google ) y otra que se repita constantemente .
allfreedo
En Google Play nunca estás seguro.
asdfgh2
El usuario necesita otorgar mínimo 3 permisos para que el ataque sea satisfactorio: superposición, instalar des de fuentes desconocidas y acceso a los SMS, y ni siquiera el malware se instala des de Google Play.
Lleváis un tiempo con una senda apocalíptica insoportable. Si buscáis drama como mínimo hacedlo noticias fundamentadas
smithwinston
Si nos regimos por el primer enunciado, el segundo no tiene sentido. Así que ¿donde está el problema? ¿En la Play Store o en las apps de fuera de la Play Store que son las que se actualizan de forma externa?
dsa10
No instaléis aplicaciones raras y ya está. Al final todo el mundo usa las mismas 20-30 aplicaciones perfectamente verificadas.
Samuel Gómez Arnaiz
Pues yo llevo más de 35 años, y jamás me hackearon nada.
Samuel Gómez Arnaiz
¿Y dónde está la tan prometida inteligencia artificial?.
imf017
Sería un puntazo que nos indicaras en el artículo a qué IPs o dominios se intenta conectar la aplicación para descargar el APK malicioso. Así los puedo bloquear en el cortafuegos.