sep 01, 2025Ravie Lakshmanananmobile Seguridad / incalviente ciberseguridad Los investigadores están llamando la atención sobre un nuevo cambio en el panorama de malware de Android, donde las aplicaciones de gotero, que generalmente se utilizan para ofrecer troyanos bancarios, también distribuyen malware más simple como los escaladores de SMS y el software básico. Estas campañas se propagan a través de aplicaciones de gotero disfrazadas de aplicaciones gubernamentales o bancarias en India y otras partes de Asia, dijo Amenazfabric en un informe la semana pasada. La firma de seguridad móvil holandesa dijo que el cambio está impulsado por las recientes protecciones de seguridad que Google ha puesto a prueba en mercados seleccionados como Singapur, Tailandia, Brasil e India para bloquear la respuesta lateral de aplicaciones potencialmente sospechosas que solicitan permisos peligrosos como mensajes SMS y servicios de accesibilidad, un entorno fuertemente abusado para llevar a cabo acciones maliciosas en dispositivos de androides. «Las defensas de Google Play Protect, particularmente el programa piloto objetivo, son cada vez más efectivos para detener aplicaciones arriesgadas antes de que se ejecuten», dijo la compañía. «En segundo lugar, los actores quieren impulsar en el futuro sus operaciones». «Al encapsular incluso las cargas útiles básicas dentro de un gotero, obtienen un caparazón protector que puede evadir los cheques de hoy mientras se mantienen lo suficientemente flexibles como para intercambiar cargas útiles y campañas de pivote mañana». Amensefabric dijo que si bien la estrategia de Google aumenta la apuesta al bloquear una aplicación maliciosa de ser instalada incluso antes de que un usuario pueda interactuar con ella, los atacantes están probando nuevas formas de evitar las salvaguardas, una indicación del juego interminable de Whack-a-Mole cuando se trata de seguridad. Esto incluye el diseño de goteros, teniendo en cuenta el programa piloto de Google, para que no busquen permisos de alto riesgo y solo sirvan una pantalla inofensiva de «actualización» que puede volar más allá del escaneo en las regiones. Pero es solo cuando el usuario hace clic en el botón «Actualizar» que la carga útil real se obtiene de un servidor externo o desempaquetado, que luego procede a buscar los permisos necesarios para cumplir con sus objetivos. «Play Protect puede mostrar alertas sobre los riesgos, como parte de un escaneo diferente, pero mientras el usuario las acepte, la aplicación está instalada y la carga útil se entrega», dijo Amenazfabric. «Esto ilustra una brecha crítica: Play Protect todavía permite aplicaciones de riesgo a través de si el usuario hace clic en la instalación de todos modos, y el malware aún se desliza a través del programa piloto». Uno de esos cuenteros es recompensas que se ha encontrado que sirve junto con las cargas de spyware un minero de criptomonedas Monero que puede activarse de forma remota. Sin embargo, las variantes recientes de la herramienta ya no incluyen la funcionalidad del minero. Algunas de las aplicaciones maliciosas entregadas a través de recompensasDropMiner, todos los usuarios de orientación en la India, se enumeran a continuación – PM Yojana 2025 (com.fluvdp.hrzmkgi) ° rto challan (com.epr.fnroyex) sbi en línea (com.qmwownic.eqmff) axis (com.tolqppj.yqmralytfzfzrrrxrrrrxrrrxrrxrrxrrxrra) La protección del juego desencadenante o el programa piloto incluye Securidropper, Zombinder, BrokeWelldropper, Hiddencatdropper y Tiramisudropper. Cuando se le contactó para hacer comentarios, Google le dijo a Hacker News que no ha encontrado ninguna aplicación que use estas técnicas distribuidas a través de Play Store y que constantemente agrega nuevas protecciones. «Independientemente de de dónde proviene una aplicación, incluso si está instalada por una aplicación ‘Dropper’, Google Play Protect ayuda a mantener a los usuarios seguros al verificarlo automáticamente las amenazas», dijo un portavoz. «La protección contra estas versiones de malware identificadas ya estaba en su lugar a través de Google Play Protect antes de este informe. Según nuestra detección actual, no se han encontrado aplicaciones que contengan estas versiones de este malware en Google Play. Estamos mejorando constantemente nuestras protecciones para ayudar a los usuarios a salvo de malos actores». El desarrollo se produce cuando Bitdefender Labs advirtió sobre una nueva campaña que usa anuncios maliciosos en Facebook para vender una versión premium gratuita de la aplicación TradingView para Android para que finalmente desplegue una versión mejorada del troyano de banca Brokwell para monitorear, controlar y robar información confidencial del dispositivo de la víctima. No menos de 75 anuncios maliciosos se han publicado desde el 22 de julio de 2025, llegando a decenas de miles de usuarios solo en la Unión Europea. La ola de Attack Android es solo una parte de una operación de malvertimiento más grande que ha abusado de los anuncios de Facebook para dirigir también a los escritorios de Windows bajo la apariencia de varias aplicaciones financieras y de criptomonedas. «Esta campaña muestra cómo los ciberdelincuentes están ajustando sus tácticas para mantenerse al día con el comportamiento del usuario», dijo la compañía rumana de ciberseguridad. «Al atacar a los usuarios móviles y disfrazar el malware como herramientas comerciales de confianza, los atacantes esperan aprovechar la creciente dependencia de las aplicaciones criptográficas y las plataformas financieras».