Kaspersky advierte que SparkCat accede a datos sensibles de los usuarios e información de billeteras crypto

El equipo de investigación de amenazas de Kaspersky identificó una nueva variante de SparkCat en aplicaciones disponibles en la App Store y en Google Play, un año después del descubrimiento de la versión anterior que robaba criptomonedas de los usuarios. El malware se oculta en aplicaciones aparentemente legítimas y analiza las fotos almacenadas en la galería en busca de frases de recuperación de billeteras digitales. Ante este panorama, los expertos refuerzan la importancia de adoptar medidas de protección para evitar la exposición de datos sensibles.

La nueva versión de SparkCat se está distribuyendo a través de aplicaciones legítimas infectadas, incluyendo apps de mensajería desarrolladas para comunicación empresarial y una aplicación de entrega de comida. Los especialistas de Kaspersky identificaron dos aplicaciones comprometidas en la App Store y una en Google Play, cuyo código malicioso ya fue eliminado. Los datos de telemetría de Kaspersky también indican que estas aplicaciones infectadas se distribuyen por otras vías, incluyendo páginas web que, al ser accedidas desde un iPhone, simulan la interfaz de la App Store.

La variante actualizada del malware para Android analiza las galerías de imágenes de los dispositivos comprometidos en busca de capturas de pantalla que contengan palabras clave específicas en japonés, coreano y chino, lo que indica que la campaña tiene como principal objetivo a usuarios asiáticos y sus activos en criptomonedas. Por su parte, la versión para iOS adopta un enfoque distinto, buscando códigos de recuperación de billeteras de criptomonedas en inglés, lo que amplía potencialmente su alcance a usuarios de diferentes regiones.

En la práctica, la versión actualizada de SparkCat para Android incorpora varias capas adicionales para dificultar la identificación del código, incluyendo técnicas como virtualización y el uso de lenguajes de programación multiplataforma, aún poco comunes en malware dirigido a dispositivos móviles.

Kaspersky notificó a Google y a Apple sobre las aplicaciones maliciosas identificadas.

“En determinados escenarios, la variante actualizada solicita acceso a la galería de fotos del dispositivo, al igual que la versión anterior, y utiliza un módulo de reconocimiento óptico de caracteres (OCR) para analizar el texto presente en las imágenes. Si identifica palabras clave relevantes, el contenido es enviado a los ciberdelincuentes”, Fabio Assolini, investigador líder en Seguridad del Equipo Global de Investigación y Análisis para América Latina en Kaspersky.

“El SparkCat representa una amenaza en evolución, con actores maliciosos que perfeccionan continuamente sus técnicas para evadir los mecanismos de verificación de las tiendas oficiales. El uso de virtualización de código y lenguajes multiplataforma demuestra un alto nivel de sofisticación, aún poco común en malware móvil. Las similitudes entre las versiones también indican que probablemente se trata de los mismos desarrolladores detrás de la amenaza, lo que refuerza la importancia de utilizar soluciones de seguridad para proteger los dispositivos móviles”, añade el especialista.

Las soluciones de Kaspersky detectan esta amenaza con los veredictos: HEUR:Trojan.AndroidOS.SparkCat.* y HEUR:Trojan.IphoneOS.SparkCat.*

Para reducir los riesgos de infección, Kaspersky recomienda:

• Utilizar una solución de ciberseguridad confiable, como Kaspersky for Mobile. En Android, la herramienta impide la instalación del malware, mientras que en iOS bloquea intentos de conexión con servidores maliciosos y alerta al usuario.
• Evitar almacenar en la galería capturas de pantalla con información sensible, como frases clave de billeteras de criptomonedas. Estos datos deben mantenerse en aplicaciones especializadas, como Kaspersky Password Manager.
• Mantener precaución al descargar aplicaciones, incluso desde tiendas oficiales, ya que no están completamente libres de riesgos.

Origen

Expertos de Kaspersky detectaron que el malware ‘Keenadu’  puede venir preinstalado desde fábrica

Frente a semejante alerta, Todo en un Click entrevistó a Leandro Cuozzo, analista de seguridad para América Latina en Kaspersky.

¿Cuán seria es la amenaza de Keenadu para Android?

Keenadu funciona como una puerta trasera que permite a los ciberdelincuentes tener control total del dispositivo. El malware cuenta con capacidades avanzadas, como modificar aplicaciones ya instaladas, descargar nuevas sin autorización y otorgarles todos los permisos, lo que puede comprometer toda la información almacenada en el equipo, desde datos personales y credenciales, hasta información biométrica.

Una de las formas de distribución de Keenadu es preinstalado en el firmware del dispositivo. Este tipo de amenazas es especialmente preocupante porque rompe la principal barrera de confianza del ecosistema móvil: la idea de que un dispositivo nuevo es seguro por defecto. Cuando el malware se infiltra en etapas previas a la venta, el usuario pierde la capacidad de prevenir el riesgo con buenas prácticas básicas.

¿Cómo entra el malware al dispositivo?

El malware cuenta con varias formas de distribución. Tiene la capacidad de infiltrarse en los equipos incluso antes de llegar a manos del usuario. Puede venir preinstalado directamente en el firmware del dispositivo, integrarse en aplicaciones del sistema o distribuirse a través de tiendas oficiales como Google Play.

¿Podría detallarnos esas tres variantes? La primera: viene integrado en el firmware del dispositivo

Al igual que el backdoor Triada detectado por Kaspersky en 2025, algunas versiones de Keenadu han sido incorporadas directamente en el sistema interno de ciertos dispositivos Android durante el proceso de fabricación o distribución. Esto significa que el equipo puede estar comprometido incluso antes de que el usuario lo encienda por primera vez. En esta variante, Keenadu funciona como una puerta trasera que permite a los ciberdelincuentes tener control total del dispositivo. Como consecuencia, toda la información del dispositivo puede verse comprometida, incluidos archivos multimedia, mensajes, credenciales bancarias o datos de localización. El malware incluso monitoriza las búsquedas que el usuario introduce en el navegador Chrome en modo incógnito.

La segunda variante: Integrado en aplicaciones del sistema

Aquí Keenadu presenta funcionalidades más limitadas. No puede infectar todas las aplicaciones del dispositivo, pero al estar integrado en una app del sistema, que dispone de privilegios elevados, puede instalar otras aplicaciones sin que el usuario lo sepa.

Kaspersky ha detectado Keenadu integrado en una aplicación del sistema responsable del desbloqueo facial del dispositivo, lo que podría permitir a los ciberdelincuentes acceder a datos biométricos del usuario. En otros casos, el malware se encontraba integrado en la aplicación de pantalla de inicio del sistema.

La tercera variante: Integrado en aplicaciones distribuidas a través de tiendas Android

Los expertos de Kaspersky también identificaron aplicaciones disponibles en Google Play que estaban infectadas con Keenadu. Se trataba de apps para el control de cámaras domésticas inteligentes que acumulaban más de 300.000 descargas antes de ser retiradas de la tienda.

Una vez instaladas, estas aplicaciones podían abrir páginas web en segundo plano, sin que el usuario lo notara, generando actividad oculta desde el dispositivo. Casos similares ya habían sido detectados en aplicaciones que se descargan fuera de las tiendas oficiales o desde otras tiendas alternativas.

¿El usuario final queda indefenso?

No es solo un problema del consumidor final, sino un desafío para toda la cadena de suministro tecnológica, que debe reforzar sus controles para evitar que el software sea manipulado antes de llegar al mercado.

¿Qué podemos hacer para evitar esta amenaza?

Las recomendaciones de Kaspersky son las siguientes:

• Revisar el origen del dispositivo y evitar compras en canales no oficiales. Siempre que sea posible, adquirir equipos en tiendas autorizadas y verificar que el fabricante publique actualizaciones periódicas de seguridad.
• Mantener el sistema y las aplicaciones actualizadas. Instalar las actualizaciones disponibles del sistema operativo y de las apps, ya que muchas corrigen vulnerabilidades que pueden ser aprovechadas por este tipo de amenazas.
• Contar con una solución de seguridad integral como Kaspersky Premium para Android, que permite detectar amenazas ocultas, bloquear aplicaciones maliciosas y proteger la información personal incluso si el malware intenta operar en segundo plano.

Origen

Kaspersky detectó SparkKitty, un malware que se oculta en aplicaciones móviles para acceder a fotos del usuario y extraer datos vinculados a criptomonedas.

Investigadores de Kaspersky han descubierto un nuevo troyano espía llamado SparkKitty, que ataca teléfonos inteligentes con sistemas operativos iOS y Android. Este malware envía a los atacantes imágenes del teléfono infectado e información sobre el dispositivo. El malware estaba incrustado en aplicaciones relacionadas con criptomonedas y apuestas, así como en una aplicación de TikTok troyanizada, y fue distribuido tanto en App Store como en Google Play, además de en sitios web fraudulentos. Los expertos sugieren que el objetivo de los atacantes es robar activos en criptomoneda.

Kaspersky ha informado a Google y Apple sobre las aplicaciones maliciosas. Algunos detalles técnicos indican que esta nueva campaña podría estar relacionada con SparkCat, un troyano detectado anteriormente que fue el primero en su tipo en atacar dispositivos iOS. SparkCat incluía una función de reconocimiento óptico de caracteres (OCR), que le permitía revisar las galerías de imágenes y robar capturas de pantalla con frases de recuperación de billeteras de criptomonedas o contraseñas. El caso de SparkKitty marca la segunda vez en un año que los expertos de Kaspersky detectan un troyano ladrón en la App Store.

En la App Store, el troyano se hacía pasar por una aplicación relacionada con criptomonedas llamada ?coin. En páginas de phishing que imitaban la tienda oficial de aplicaciones de iPhone, el malware se distribuía bajo la apariencia de aplicaciones de TikTok y apuestas.

“Uno de los métodos que usaron los atacantes para distribuir el troyano fue a través de sitios web falsos, donde intentaban infectar los iPhones de las víctimas. Si bien iOS limita la instalación de aplicaciones fuera de la App Store, existen métodos legítimos para hacerlo, como el uso de perfiles de aprovisionamiento y herramientas para desarrolladores. Esta campaña abusó justamente de esos mecanismos: los atacantes aprovecharon certificados empresariales para distribuir apps maliciosas. En el caso de la versión infectada de TikTok, que funcionaba como un mod de la aplicación, durante el proceso de inicio de sesión, el malware no solo robaba fotos de la galería del dispositivo, sino que también insertaba enlaces a una tienda sospechosa dentro del perfil del usuario. Esta tienda aceptaba únicamente criptomonedas como forma de pago, lo que refuerza las sospechas sobre su uso con fines maliciosos”, asegura Leandro Cuozzo, analista de Seguridad en el Equipo Global de Investigación y Análisis para América Latina en Kaspersky

En el caso del sistema Android, los atacantes apuntaron a usuarios tanto en sitios web de terceros como en Google Play, haciendo pasar el malware por varios servicios de criptomonedas. Por ejemplo, una de las aplicaciones infectadas —un mensajero llamado SOEX con función de intercambio de criptomonedas— fue descargada más de 10.000 veces desde la tienda oficial.

Los expertos también encontraron archivos APK de aplicaciones infectadas (que se pueden instalar directamente en teléfonos Android, sin pasar por las tiendas oficiales) en sitios web de terceros que probablemente están relacionados con la campaña maliciosa detectada. Estas apps se presentaban como proyectos de inversión en criptomonedas. Los sitios web en los que se alojaban estas aplicaciones se anunciaban en redes sociales, incluido YouTube.

“Una vez instaladas, las aplicaciones funcionaban tal como se describía, sin embargo, en segundo plano enviaban a los atacantes las fotos de la galería del teléfono. Estos pueden intentar luego encontrar datos confidenciales en las imágenes, como frases de recuperación de billeteras de criptomonedas con el fin de acceder a los activos de las víctimas. Hay señales indirectas de que los atacantes están interesados en los activos digitales de las personas: muchas de las aplicaciones infectadas estaban relacionadas con criptomonedas, y la app de TikTok ‘troyanizada’ también tenía una tienda integrada que solo aceptaba pagos en cripto”, agregó el experto.

Para evitar convertirse en víctima de este malware, los expertos de Kaspersky recomiendan:

• Si has instalado alguna de las aplicaciones infectadas, elimínala de tu dispositivo y no la vuelvas a usar hasta que se publique una actualización que corrobore que su funcionalidad maliciosa ya no está presente.
• Si una app solicita acceso a tu galería de fotos, asegúrate de que realmente lo necesita. Conceder permisos innecesarios puede facilitar el robo de imágenes con información sensible.
• Evita guardar en tu galería capturas de pantalla con información sensible, como frases de recuperación de billeteras de criptomonedas o bien, tus claves de acceso. Las contraseñas, por ejemplo, pueden almacenarse en aplicaciones especializadas como Kaspersky Password Manager.
• Usa un software de ciberseguridad confiable, como Kaspersky Premium, que puede prevenir infecciones de malware. Debido a la arquitectura del sistema operativo de Apple, la solución de Kaspersky para iOS muestra una advertencia si detecta un intento de transferencia de datos al servidor del atacante, y bloquea dicha conexión.

Origen

Los usuarios suelen pensar que instalar aplicaciones desde Google Play es algo seguro. Después de todo, es la tienda oficial de todas las que existen para Android, sin embargo, en esta plataforma se pueden encontrar más de tres millones de aplicaciones únicas, la mayoría de las cuales se actualizan regularmente, y examinarlas todas a fondo es algo que excede los recursos de hasta una de las empresas más grandes del mundo.

Los creadores de aplicaciones maliciosas son conscientes de esto, y por eso han desarrollado una serie de técnicas para infiltrar sus creaciones en Google Play. Los expertos de Kaspersky analizaron los casos más sonados de 2023 de aplicaciones maliciosas que han sido comercializadas en la tienda oficial de Android, con un total de descargas que superan los 600 millones.

50,000 descargas: App infectada iRecorder que espía a usuarios

iRecorder, una intuitiva aplicación para grabar la pantalla para teléfonos Android, se subió a Google Play en septiembre de 2021. Posteriormente, en agosto de 2022, sus desarrolladores añadieron una funcionalidad maliciosa: el código del troyano de acceso remoto AhMyth, que provocaba que los teléfonos de todos los usuarios que habían instalado la aplicación grabaran sonido desde el micrófono cada 15 minutos y lo enviaran al servidor de los creadores de la app. Para cuando los investigadores descubrieron el malware en mayo de 2023, la aplicación iRecorder se había descargado más de 50,000 veces.

Este ejemplo demuestra una de las formas en que las aplicaciones maliciosas logran llegar a Google Play. Primero, los ciberdelincuentes publican una aplicación inofensiva en la tienda para asegurarse que pasará todos los controles de moderación. Posteriormente, cuando ha alcanzado una base de usuarios y cierta reputación, se modifica con una funcionalidad maliciosa que se introduce a través de una actualización.

620,000 descargas: troyano de suscripción Fleckpe

También en mayo de 2023, nuestros expertos encontraron varias aplicaciones en Google Play infectadas con el troyano de suscripción Fleckpe. Para ese momento, ya habían conseguido 620,000 instalaciones. Curiosamente, estas aplicaciones fueron subidas por desarrolladores diferentes. Y esta es otra táctica común: los ciberdelincuentes crean numerosas cuentas de desarrollador en la tienda para que, incluso si los moderadores les bloquean alguna, simplemente puedan subir una aplicación similar a otra de sus cuentas.

Cuando la aplicación infectada se ejecutaba, la carga útil maliciosa principal se descargaba en el teléfono de la víctima, tras lo cual el troyano se conectaba al servidor de mando y control y transfería la información del país y del operador de telefonía. Gracias a esta información, el servidor proporcionaba instrucciones sobre cómo proceder. A continuación, Fleckpe abría páginas web con suscripciones de pago en una ventana del navegador invisible para el usuario y, interceptando los códigos de confirmación de las notificaciones entrantes, suscribía al usuario a servicios innecesarios que abonaba a través del contrato del operador de telefonía móvil.

1,5 millones de descargas: spyware chino

En julio de 2023, se descubrió que Google Play alojaba dos apps maliciosas para la administración de archivos: una con un millón de descargas y la otra con medio millón. A pesar de las garantías de los desarrolladores de que las aplicaciones no recopilaban ningún dato, los investigadores descubrieron que las dos transmitían mucha información del usuario a servidores en China, incluidos datos como los contactos, la geolocalización en tiempo real, información sobre el modelo de teléfono y la red de telefonía, fotos, audio, archivos de vídeo y más. Para evitar que el usuario las desinstale, las aplicaciones infectadas ocultaban sus iconos de escritorio, lo cual es otra táctica común empleada por los creadores de malware móvil.

2,5 millones de descargas: adware en segundo plano

En un caso reciente de detección de malware en Google Play en agosto de 2023, los investigadores encontraron hasta 43 aplicaciones ?incluidas, entre otras, TV/DMB Player, Music Downloader, News y Calendar? que cargaban anuncios en secreto cuando la pantalla del teléfono del usuario estaba apagada. Para poder desarrollar su actividad en segundo plano, las aplicaciones solicitaban al usuario que las añadiera a la lista de exclusiones del ahorro de energía. Naturalmente, los usuarios afectados sufrían una reducción de la vida útil de la batería. Estas aplicaciones tuvieron un total combinado de 2,5 millones de descargas, y su público objetivo fue principalmente coreano.

20 millones de descargas: apps fraudulentas que prometen recompensas

Un estudio publicado a principios de 2023 reveló varias aplicaciones sospechosas en Google Play con más de 20 millones de descargas entre ellas. Estas aplicaciones se anunciaban principalmente como rastreadores de salud y prometían a los usuarios recompensas en efectivo por caminar y otras actividades, así como por ver anuncios o instalar otras aplicaciones. Más concretamente, el usuario recibía puntos por realizar estas acciones, que supuestamente podían convertirse después en dinero real. El único problema era que para obtener una recompensa era necesario acumular una cantidad tan grande de puntos que en la realidad era imposible lograrlo.

35 millones de descargas: clones de Minecraft con adware en su interior

Google Play también ha alojado juegos maliciosos este año, la mayoría disfrazados como Minecraft, que sigue siendo uno de los títulos más populares del mundo. En abril de 2023 se detectaron 38 clones de Minecraft en la tienda oficial de Android, con un total de 35 millones de descargas. Estas aplicaciones ocultaban en su interior un adware con un nombre muy pertinente: HiddenAds.

Cuando se abrían las aplicaciones infectadas, “mostraban” anuncios ocultos sin el conocimiento del usuario. Esto no representaba una amenaza grave en sí, pero ese funcionamiento podría haber afectado al rendimiento del dispositivo y a la duración de la batería. Y las aplicaciones infectadas siempre podían pasar más adelante a emplear un esquema de monetización mucho menos inofensivo. Esta es otra táctica estándar de los creadores de aplicaciones de malware de Android: cambian fácilmente entre distintos tipos de actividad maliciosa según la rentabilidad que obtienen en cada momento.

100 millones de descargas: recopilación de datos y fraude del clic

También en abril de 2023, se encontraron otras 60 aplicaciones en Google Play infectadas con un adware que los investigadores denominaron Goldoson. En conjunto, estas aplicaciones tuvieron más de 100 millones de descargas en esta tienda oficial. Este malware también “mostraba” anuncios ocultos al abrir páginas web dentro de la aplicación en segundo plano. Además, las aplicaciones maliciosas recopilaban datos del usuario, como información sobre las apps instaladas, la geolocalización, las direcciones de los dispositivos conectados al teléfono a través de Wi-Fi y Bluetooth, y más. Al parecer, Goldoson se había infiltrado en todas esas aplicaciones junto con una biblioteca infectada empleada por muchos desarrolladores legítimos que simplemente no sabían que contenía esta funcionalidad maliciosa.

451 millones de descargas: anuncios de minijuegos y recolección de datos

Terminamos con el caso más grande del año: en mayo de 2023, un equipo de investigadores encontró  101 aplicaciones no elegibles en Google Play, con un total de descargas combinadas de 421 millones. Al acecho dentro de todas y cada una de ellas estaba una biblioteca con el código SpinOk.

Poco después de eso, otro equipo de investigadores descubrió 92 aplicaciones más en Google Play que tenían la misma biblioteca con SpinOk, pero con un número un poco más modesto de descargas: 30 millones. En total, se encontraron casi 200 aplicaciones que contienen el código SpinOK, con un total de 451 millones de descargas desde Google Play entre todas. Este es otro caso en el que se entregó código peligroso a aplicaciones desde una biblioteca de terceros. Aparentemente, la tarea de las aplicaciones era mostrar minijuegos intrusivos que prometían recompensas en efectivo. Pero además, la biblioteca SpinOK era capaz de recopilar y enviar datos y archivos del usuario al servidor de mando y control de sus desarrolladores en segundo plano.

Ante este escenario, la conclusión es clara: el malware en Google Play es mucho más común de lo que se puede pensar: las aplicaciones infectadas tienen un total de descargas combinadas de más de 500 millones.

Por ello, los expertos de Kaspersky recomiendan:

• Pese a todo, las tiendas oficiales siguen siendo las únicas fuentes seguras para descargar apps; hacerlo en otro lugar es mucho más peligroso, por lo que recomendamos que no lo hagas.
• Cada vez que descargues una aplicación nueva, revisa atentamente la página en la tienda para asegurarte de que sea una aplicación genuina. Presta especial atención al nombre del desarrollador. Con frecuencia, los ciberdelincuentes clonan aplicaciones populares y las publican en Google Play con nombres, iconos y descripciones similares para atraer a los usuarios.
• No te dejes guiar por la calificación general de la aplicación, ya que es fácil alterarla. También resulta sencillo falsificar las críticas favorables. Es mejor que te centres en las críticas negativas con calificaciones bajas; ahí es donde generalmente podrás encontrar una descripción de todos los problemas relacionados con la aplicación.
• Asegúrate de instalar una protección fiable en todos tus dispositivos Android, de manera que recibas una alerta si un troyano intenta colarse en tu teléfono o tablet. En el mercado, existen soluciones que permiten a los usuarios realizar un análisis manual al instalar apps nuevas. En el portafolio de soluciones para el consumidor de Kaspersky, conformado por Kaspersky Standard, Kaspersky Plus o Kaspersky Premium, el análisis se realiza automáticamente, lo que te mantiene a salvo de las aplicaciones infectadas.

Para más información, visita el blog de Kaspersky. 

Origen

Los investigadores de Kaspersky han descubierto una nueva familia de troyanos que se dirige a los usuarios de Google Play. El troyano de suscripción, denominado Fleckpe, se propaga a través de apps de edición de fotos y fondos de pantalla, suscribiendo al usuario desprevenido a servicios pagos. Fleckpe ha infectado más de 620,000 dispositivos desde que se detectó en 2022, con víctimas en todo el mundo.

De vez en cuando, aplicaciones maliciosas que parecen inofensivas se cargan en la tienda de Google Play. Entre estas se encuentran los troyanos de suscripción, que son algunos de los más complicados, y que a menudo pasan desapercibidos hasta que la víctima se da cuenta que le han cobrado por servicios que nunca tuvo la intención de comprar. Sin embargo, este tipo de malware frecuentemente llega a la tienda oficial de aplicaciones de Android. Dos ejemplos son la familia Joker y la familia Harly, recientemente descubierta.

La nueva familia de troyanos descubierta por Kaspersky, denominada “Fleckpe”, se propaga a través de Google Play bajo la apariencia de apps de edición de fotos, paquetes de fondos de pantalla y otras aplicaciones. Es más, suscribe al usuario a servicios pagos sin su consentimiento.

Datos de Kaspersky sugieren que el troyano ha estado activo desde 2022. Los investigadores de la empresa han encontrado al menos 11 aplicaciones infectadas con Fleckpe, que se han instalado en más de 620,000 dispositivos. Aunque las aplicaciones se eliminaron de la tienda de apps al publicarse el informe de Kaspersky, es posible que los ciberdelincuentes continúen implementando este malware en otras apps, lo que significa que el número real de instalaciones probablemente sea mayor.

La app infectada inicia una biblioteca nativa muy ofuscada que contiene un dropper malicioso responsable de descifrar y ejecutar una carga útil desde los activos de la aplicación. Esta carga útil establece una conexión con el servidor de comando y control de los atacantes y transmite información sobre el dispositivo infectado, incluidos los detalles del país y del operador. Subsecuentemente, se proporciona una página de suscripción paga y el troyano abre en secreto un navegador web e intenta suscribirse al servicio de pago en nombre del usuario. Si la suscripción requiere un código de confirmación, el malware accede a las notificaciones del dispositivo para obtenerlo.

De tal forma, el troyano suscribe a los usuarios a un servicio de pago sin su consentimiento, lo que provoca que la víctima pierda dinero. Curiosamente, la funcionalidad de la aplicación no se ve afectada y los usuarios pueden continuar editando fotos o configurando fondos de pantalla sin darse cuenta de que se les ha cobrado un servicio.

La telemetría de Kaspersky muestra que el malware se dirigió principalmente a usuarios de Tailandia, aunque también se encontraron víctimas en Polonia, Malasia, Indonesia y Singapur.

“Lamentablemente, los troyanos de suscripción solo han ganado popularidad entre los estafadores últimamente. Los ciberdelincuentes que los utilizan recurren cada vez más a mercados oficiales como Google Play para propagar su malware. La creciente complejidad de los troyanos les ha permitido eludir con éxito muchos controles antimalware implementados por los mercados, permaneciendo sin ser detectados durante largos períodos de tiempo. A menudo, los usuarios afectados no logran descubrir las suscripciones no deseadas de inmediato, y mucho menos descubrir cómo se realizó la suscripción en primer lugar. Todo esto convierte a los troyanos de suscripción en una fuente confiable de ingreso ilegal en los ojos de los ciberdelincuentes”, comentó Dmitry Kalinin, investigador de seguridad en Kaspersky.

Para evitar ser infectado por un malware de suscripción, los expertos de Kaspersky recomiendan:

• Tenga cuidado con las aplicaciones, incluso aquellas de mercados legítimos como Google Play y recuerde verificar qué permisos otorga a las aplicaciones instaladas; algunas de ellas pueden representar un riesgo para la seguridad.
• Instale en su teléfono un producto antivirus capaz de detectar este tipo de troyanos como Kaspersky Premium.
• No instale aplicaciones de fuentes de terceros o software pirateado. Los atacantes saben la preferencia de las personas por todo lo gratuito y la explotan a través de malware oculto en cracks, trucos y mods.
• En caso de que se detecte malware de suscripción en su teléfono, elimine la aplicación infectada de su dispositivo inmediatamente o desactívela si está preinstalada.

Obtenga más información sobre el malware Fleckpe en Securelist.com.

Origen

Al analizar las ofertas de aplicaciones maliciosas para Google Play que se comercializan en la Darknet, expertos de Kaspersky descubrieron que las apps móviles maliciosas y las cuentas de desarrollador de la tienda se venden por hasta US$20,000. Por medio de Kaspersky Digital Footprint Intelligence, los investigadores recopilaron ejemplos de nueve foros diferentes de la Darknet donde se lleva a cabo la compra y venta de bienes y servicios relacionados con el malware. El informe arroja evidencia sobre cómo las amenazas vendidas en el mercado clandestino aparecen en Google Play y también revela las ofertas disponibles, el rango de precios y las características de comunicación y acuerdos entre los ciberdelincuentes.

A pesar de que las tiendas de aplicaciones oficiales son rigurosamente vigiladas, las apps maliciosas no siempre pueden ser detectadas antes de ser cargadas en las tiendas. Cada año, una amplia gama de aplicaciones maliciosas son eliminadas de Google Play solo después de que las víctimas hayan sido infectadas. Los ciberdelincuentes se reúnen en la Darknet, un mundo digital clandestino con sus propias reglas, precios de mercado e instituciones reputacionales, para comprar y vender aplicaciones maliciosas para Google Play, y funciones adicionales para mejorar e incluso promover sus creaciones.

Al igual que en los foros legítimos para vender bienes, también hay varias ofertas de la Darknet para distintas necesidades y clientes con diferentes presupuestos. Para publicar una aplicación maliciosa, los ciberdelincuentes necesitan una cuenta de Google Play y un código de descarga malicioso (Google Play Loader). Una cuenta de desarrollador se puede comprar a bajo precio, por US$200 y a veces incluso por tan solo US$60. El costo de los cargadores maliciosos varía entre US$2,000 y US$20,000, dependiendo de la complejidad del malware, la novedad y prevalencia del código malicioso, así como las funciones adicionales.

La mayoría de las veces, se sugiere que el malware que se distribuye se oculte bajo rastreadores de criptomonedas, aplicaciones financieras, escáneres de códigos QR e, incluso, aplicaciones de citas. Los ciberdelincuentes también destacan cuántas descargas tiene la versión legítima de esa aplicación, lo que significa cuántas víctimas potenciales pueden infectarse al actualizar la aplicación y agregarle un código malicioso. Con mayor frecuencia, las sugerencias especifican 5,000 descargas o más.

Por una tarifa adicional, los ciberdelincuentes pueden ocultar el código de la aplicación para que sea más difícil de detectar por las soluciones de ciberseguridad. Para aumentar la cantidad de descargas de una aplicación maliciosa, muchos atacantes también ofrecen comprar instalaciones, dirigiendo el tráfico a través de los anuncios de Google y atrayendo a más usuarios para que descarguen la aplicación. Las instalaciones tienen costos diferentes en cada país. El precio promedio es de $0.50 centavos de dólar, con ofertas que van desde $0.10 centavos de dólar hasta varios dólares. En una de las ofertas descubiertas, los anuncios para usuarios de EE. UU. y Australia cuestan más: $0.80 centavos de dólar.

Los estafadores reciben ingresos por sus ‘esfuerzos’ de tres maneras: solicitando parte de la ganancia final, alquilando la app maliciosa, o por la venta completa de una cuenta o amenaza. Algunos vendedores incluso realizan subastas de sus productos, ya que muchos de ellos limitan la cantidad de lotes a la venta. Por ejemplo, el precio inicial de una oferta que encontramos era de US$1,500, con incrementos de US$700 en subasta, y el blitz, la compra instantánea por el precio más alto, era de US$7,000.

Los vendedores en la Darknet también pueden ofrecer publicar la aplicación maliciosa para el comprador para que este no interactúe directamente con Google Play, pero aun así pueda recibir de forma remota todos los datos detectados de las víctimas. Puede parecer que, en tal caso, el desarrollador puede engañar fácilmente al comprador, pero es común entre los vendedores en la Darknet preservar y mantener su reputación, prometer garantías o aceptar el pago después de que se hayan completado los términos del acuerdo. Para reducir los riesgos al hacer negocios, los ciberdelincuentes suelen recurrir a los servicios de intermediarios desinteresados, conocidos como “escrow”. El depósito en garantía puede convertirse en un servicio especial y respaldado por una plataforma en la sombra o por un tercero que no esté interesado en los resultados de la transacción.

“Las aplicaciones móviles maliciosas continúan siendo una de las principales amenazas cibernéticas dirigidas a los usuarios, con más de 1,6 millones de ataques móviles detectados en 2022. Al mismo tiempo, la calidad de las soluciones de ciberseguridad que protegen a los usuarios de estos ataques también está aumentando. En la Darknet, encontramos mensajes de ciberdelincuentes quejándose de que ahora les resulta mucho más difícil subir sus aplicaciones maliciosas a las tiendas oficiales. Sin embargo, esto también significa que ahora presentarán esquemas de elusión mucho más sofisticados, por lo que los usuarios deben mantenerse alerta y verificar cuidadosamente qué aplicaciones están descargando”, comenta Alisa Kulishenko, experta en seguridad de Kaspersky.

Para mantenerse a salvo de cualquier amenaza móvil, Kaspersky recomienda:

• Verifique los permisos de las aplicaciones que usa y piense detenidamente antes de otorgarlos, especialmente cuando se trata de permisos de alto riesgo, como el permiso para usar los Servicios de accesibilidad. Por ejemplo, el único permiso que una aplicación de linterna necesita es para acceder la linterna (acceso a la cámara u otra funcionalidad no es necesaria).
• Use una solución de seguridad confiable para ayudarlo a detectar aplicaciones maliciosas y adware antes de que estas afecten su dispositivo.
• Aunque los usuarios de iPhone cuentan con algunos controles de privacidad proporcionados por Apple, deben bloquear el acceso de las apps a las fotos, contactos y funciones de GPS si creen que esos permisos son innecesarios.
• Actualice su sistema operativo y aplicaciones importantes a medida que las actualizaciones estén disponibles. Muchos problemas de seguridad se pueden resolver instalando versiones actualizadas de software.

Para consultar sobre los servicios de monitoreo de amenazas para su organización, contáctenos en dfi@kaspersky.com.

Encuentre más ejemplos de amenazas para Google Play comercializadas en la Darknet en el informe completo en Securelist.

Origen

Las aplicaciones fleeceware extraen cientos de dólares al año de sus usuarios a través de servicios de suscripción

Avast (LSE:AVST), líder mundial en seguridad digital y privacidad, ha descubierto más de 200 nuevas aplicaciones de fleeceware en la App Store de Apple y Google PlayStore. Las aplicaciones han sido descargadas aproximadamente mil millones de veces y han acumulado más de 400 millones de dólares en ingresos hasta ahora*. Avast ha informado de las aplicaciones de fleeceware tanto a Apple como a Google para su revisión.

Las aplicaciones atraen a los usuarios con la promesa de una prueba gratuita de 3 días, con una tarifa de suscripción inusualmente alta adjunta. Una vez que finaliza la prueba, a los usuarios se les cobra una tarifa de suscripción recurrente, incluso si eliminaron la aplicación a esa altura, hasta que cancelen la suscripción en la configuración de la tienda de aplicaciones de su dispositivo. Una de las aplicaciones, por ejemplo, ofrece una breve prueba gratuita seguida de una suscripción de U$S66 por semana, lo que podría costarle a la víctima U$S3,432 por año a menos que se cancele. Estas aplicaciones de fleeceware se publicitan activamente en las principales redes sociales como Facebook, Instagram, Snapchat y TikTok *.

“Las aplicaciones de fleeceware que hemos descubierto son mayormente aplicaciones de instrumentos musicales, lectores de palma, editores de imágenes, filtros de cámara, adivinos, lectores de código QR y PDF, y 'simuladores de slime'. Si bien las aplicaciones generalmente cumplen con su propósito previsto, es poco probable que un usuario quiera, a sabiendas, pagar una tarifa recurrente tan cara por estas aplicaciones, especialmente cuando hay alternativas más baratas o incluso gratuitas en el mercado", dijo Jakub Vávra, Analista de Amenazas de Avast en el Blog post.

“Parece que parte de la estrategia del fleeceware es dirigirse al público más joven a través de temas divertidos y anuncios atractivos en las redes sociales populares con promesas de 'instalación gratuita' o 'descarga gratuita'. Para cuando los padres notan los pagos semanales, el fleeceware puede haber extraído ya importantes cantidades de dinero ”, continuó Vávra.

Los investigadores de Avast descubrieron las aplicaciones de fleeceware de Android a través de su plataforma de inteligencia de amenazas móviles apklab.io, y luego expandieron su investigación a la App Store de Apple. Las aplicaciones con sus descargas e ingresos estimados en dólares se pueden encontrar aquí * (Google Play Store) y aquí * (Apple App Store).

Cómo evitar las aplicaciones Fleeceware

Con las suscripciones siendo una práctica cada vez más frecuente en las tiendas de aplicaciones, se alienta a los usuarios a estar atentos al descargar y usar aplicaciones. Para evitar el fleeceware, Avast recomienda los siguientes consejos:

• Tenga cuidado con las pruebas gratuitas de menos de una semana. Las aplicaciones que ofrecen pruebas gratuitas durante periodos muy cortos deben manejarse con precaución. Asegúrese de entender cuánto se le cobrará y que la aplicación vale la pena por la tarifa recurrente.

• Sea escéptico de los anuncios o publicidades virales para aplicaciones. Es probable que las publicidades de fleeceware tengan mensajes e imágenes atractivas para atraer la atención de los usuarios. Es probable que no reflejen la funcionalidad real de la aplicación.

• Lea la letra pequeña. Una mirada más cercana probablemente revelará el verdadero precio de la aplicación. Lea atentamente los detalles de la aplicación, prestando mucha atención a las secciones "Compras dentro de la aplicación". Asegúrese de familiarizarse con las condiciones de lo que se está suscribiendo, incluso si se trata de una prueba gratuita, ya que puede haber cargos automáticos a partir de entonces.

• Asegure sus pagos. Asegúrese de que sus métodos de pago estén bloqueados detrás de una contraseña o seguridad biométrica. Esto también puede evitar suscripciones accidentales por parte de niños.

Origen

La empresa de seguridad MalwareBytes (vía AndroidPolice) publicó un informe sobre una aplicación en la Google Play Store que ofrece adware. La aplicación, llamada Barcode Scanner, es una de las muchas que, una vez instalada, permite al teléfono escanear códigos de barras y leerlos. Con más de 10 millones de instalaciones, no parecía haber ningún problema con la aplicación durante años y formaba parte del programa Google Play Pass; este programa permite a los usuarios de Android pagar 4,99 dólares mensuales o 29,99 dólares anuales para instalar un número ilimitado de aplicaciones sin pagar ninguna cuota adicional por ellas. El suscriptor y hasta cinco miembros de la familia podían utilizar el servicio al mismo tiempo.

El informe señala que, a partir de una actualización difundida en diciembre, la aplicación comenzó a publicar anuncios de un limpiador para teléfonos Android que supuestamente elimina los archivos basura y mejora la duración de la batería. Aunque el listado de la aplicación infractora ha sido eliminado de Google Play Store, si usted había instalado previamente la aplicación en su teléfono, todavía podría estar en su terminal. Antes de que Google retirara la aplicación de la Play Store, el desarrollador vinculado a ella era LAVABIRD LTD. que sigue ofreciendo otras aplicaciones para los usuarios de Android en la Play Store.

El enlace de Play Store a la aplicación era https:/play.google.comstoreappsdetails?id=com.qrcodescanner.barcodescanner y se puede encontrar una copia del listado en archive.com. MalwareBytes dice que la aplicación abre el navegador web predeterminado del usuario sin ninguna interacción por parte de éste, de modo que los anuncios siguen apareciendo repetidamente. Si necesitas tener un escáner de código de barras en tu dispositivo Android, hay muchos legítimos que puedes encontrar. También puedes considerar el uso de Google Lens, que leerá códigos de barras y códigos QR en Android e iOS.

Es posible que quieras eliminar todos los escáneres de códigos de barras y códigos QR de tu teléfono Android y limitarte a usar Google Lens. Por otro lado, si prefieres usar una app pero quieres asegurarte de que no has instalado este malware, puedes instalar la app AppChecker buscando "escáner de código de barras". Si ves un paquete con el nombre "com.qrcodescanner.barcodescanner", elimínalo inmediatamente.

Aunque no tuvimos la oportunidad de ver los comentarios de los usuarios del malware, quizá recuerdes que siempre te decimos que normalmente puedes encontrar algunas banderas rojas al mirar esta sección del listado de una aplicación. Así que haz tu debida diligencia antes de instalar una aplicación de un desarrollador del que nunca has oído hablar. Se supone que Google Play Protect realiza una comprobación de seguridad de las aplicaciones de Play Store antes de que las instales. Sin embargo, este sistema no se ha perfeccionado teniendo en cuenta el número de aplicaciones infectadas que llegan a los terminales Android.

Fuente: PhoneArena

Origen

Tras el veto a por parte de Estados Unidos y salvo que la cosa cambie de forma radical, Huawei tendrá que buscar alternativas para comercializar sus smartphones al margen del calor de Google. Uno de los elementos más potentes de Android es sin duda Google Play, tienda de aplicaciones donde se dan cita millones de juegos y software de todo tipo, incluyendo lo últimos lanzamientos. Aunque puede que Huawei tenga un «as» bajo la manga que le permite sobrevivir sin Google Play.

El veto de Estados Unidos y Google a Huawei puede que haya cogido de sorpresa a la mayoría, pero desde luego no a Huawei. Todo parece indicar que la compañía china lleva tiempo preparándose para lo peor. Comprar un móvil Huawei y que éste no tenga acceso a Google Play es sin duda un problema, no obstante, la compañía lleva mucho tiempo trabajando en la sombra con “AppGallery” su propio Google Play donde ya se dan cita cientos de miles de aplicaciones.

Descargar Huawei AppGallery
Si tienes un Huawei o cualquier otro smartphone Android puedes descargar e instalar tú mismo “AppGallery” y te darás cuenta que la app está muy trabajada, como para que Huawei no estuviera pensando en un proyecto ambicioso con esta tienda de aplicaciones. Para poder tener este bazar en nuestro dispositivo tendremos que seguir unos sencillos pasos:

• Descargar el archivo apk desde este enlace
• Instalar la app en tu móvil Android.
• Instalar la app Huawei Mobile Services (si no estamos en un terminal Huawei)

Después podremos abrir la app y acceder a todo el catálogo de AppGalley. Para poder descargar los juegos tendremos que crearnos un Huawei ID, se trata de un sencillo registro en el que se nos pedirá un correo electrónico y una contraseña. Al igual que ocurre con el App Store, podremos elegir un país determinado para acceder a AppGallery. Es decir, si elegimos China, encontraremos muchas más apps que en la versión española de la tienda, pero muchas de estas apps estarán en chino.

¿Qué pensáis? ¿Puede Huawei plantar batalla a Google Play con su propia tienda de aplicaciones? Por el momento, la compañía guarda silencio desde el escuto comunicado emitido ayer, en el que aseguraba que este veto no impedirá que los actuales smartphones reciban actulizaciones de seguridad y de las aplicaciones.

Fuente: Movil Zona

Origen

Origen