Detectadas en la Google Play Store seis apps antivirus que propagan malware

Check Point Research ha descubierto seis aplicaciones que propagan malware bancario, las cuales han estado disponibles para su descarga en la Play Store de Google haciéndose pasar por soluciones antivirus. Google ha tenido conocimiento de los hallazgos inmediatamente después de identificar estas aplicaciones que propagan el malware Sharkbot y, después de examinarlas, se han eliminado permanentemente de Google Play.

Sharkbot roba credenciales e información bancaria de los usuarios de Android. Se trata de un malware que atrae a sus víctimas para que introduzcan sus datos en ventanas que imitan los formularios de inserción de credenciales. Cuando el usuario ingresa sus datos, la información comprometida se envía a un servidor malicioso. Asimismo, los investigadores han descubierto que los autores han implementado una función de geofencing que hace que no se ejecute el malware si los usuarios de dispositivos están en China, India, Rumanía, Rusia, Ucrania o Bielorrusia.

Los investigadores han recogido datos estadísticos durante una semana. A lo largo de este tiempo, han contado más de 1.000 IPs de víctimas, en su mayoría de Reino Unido e Italia, y que aumenta aproximadamente en 100 nuevas personas afectadas cada día. Según las estadísticas de Google Play, hay 11.000 descargas de las seis aplicaciones maliciosas.

Cuatro de las solicitudes procedían de tres cuentas de desarrolladores, Zbynek Adamcik, Adelmio Pagnotto y Bingo Like. Al comprobar el historial de estas direcciones, Check Point Research ha detectado que dos de ellas estaban activas desde el otoño de 2021. Algunas de las aplicaciones vinculadas a las mismas se eliminaron de Google Play, pero siguen existiendo en mercados no oficiales. Esto podría significar que el ciberdelincuente que está detrás intenta pasar desapercibido mientras sigue participando en actividades maliciosas.

“Hemos descubierto seis aplicaciones en la Play Store de Google que estaban propagando el malware Sharkbot que roba credenciales e información bancaria. Si observamos el número de descargas podemos suponer que los responsables de la amenaza dieron en la diana con su método de propagación del malware. El ciberdelincuente ha elegido estratégicamente las aplicaciones en Google Play porque gozan de la confianza de los usuarios. Lo que también es digno de mención aquí es que envían mensajes a las víctimas que contienen enlaces maliciosos, lo que conduce a una adopción generalizada”, advierte Eusebio Nieva, director de Check Point para España y Portugal. “En definitiva, el uso de mensajes push por parte de los atacantes para solicitar una respuesta de los usuarios es una técnica de propagación inusual. Creo que es importante que todos los usuarios de Android sepan que deben pensar dos veces antes de descargar cualquier solución antivirus de la Play Store. Podría ser Sharkbot”.