Hay cerca de 190 aplicaciones en la Play Store de Google para Android infectadas por un malware troyano capaz de inscribirte en servicios de pago. Y sí, sin que te des cuenta. Kaspersky fue la compañía de seguridad que anunció este hecho y señaló que todas las apps en conjunto tienen cerca de 5 millones de descargas.

De acuerdo con los investigadores, las apps eran muy variadas: había unas para linternas y otras de minijuegos. Lo curioso es que fueron apareciendo en la Play Store de forma paulatina en estos últimos dos años.

Dicho malware ha sido llamado Harly y la empresa de seguridad lo asemeja al Joker, debido a que lleva más de cinco años esquivando los controles de Android (que en este caso sería Batman, si seguimos la analogía propuesta).  

Kaspersky hizo otro descubrimiento importante. Y es que los creadores de malware aprendieron a usar los lenguajes de programación Go y Rust. Pero sus habilidades solo se limitan a dos cosas: descifrar y cargar el Kit de Desarrollo de Software malicioso.

¿Cómo funciona el malware de estas apps de Android en Play Store?

kaspersky apps troyano
Algunas de las apps infectadas. Vía kaspersky

Muchos usuarios no han considerado estas aplicaciones una amenaza, debido a que la mayoría de las veces cumplen con la función que prometen. Y, desde 2020, se han hallado en Google Play más de 190 aplicaciones infectadas con Harly. Pero, ¿cómo funciona exactamente todo esto? Aquí les explicamos:

  • Debemos tener presente que la familia Jocker son descargadores de varias etapas. Esto significa que reciben la carga útil de los servidores C&C de los estafadores.
  • Los troyanos de Harly, en cambio, poseen toda la carga útil dentro de la aplicación. E incluso utilizan diferentes métodos para descifrarla y ejecutarla.
  • Por tanto, Harly recopila información sobre el dispositivo del usuario y su red móvil. Aquí pasa que el teléfono del usuario cambia a una red móvil. Después de ello, el troyano le solicita al servidor C&C que configure una lista de suscripciones a las que debe registrarse.
  • A continuación, el troyano abre la dirección de la suscripción en una ventana invisible. Inyecta una serie de secuencias de comandos JS, luego introduce el número de teléfono del usuario, presiona los botones necesarios e introduce el código de confirmación del mensaje de texto. Al final, el usuario obtendrá una suscripción de pago sin darse cuenta.

Esto nos enseña que debemos descargar apps Android en Play Store de sitios conocidos y evitar todas aquellas de proveedores que no conozcamos.

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *