### Nuevo troyano de acceso remoto para Android permite generar apps maliciosas desde Google Play

#### Introducción

En las últimas semanas, investigadores de ciberseguridad han detectado una nueva variante de troyano de acceso remoto (RAT) dirigida específicamente a dispositivos Android. Este malware no solo posibilita el control total del dispositivo comprometido, sino que introduce una novedosa y peligrosa funcionalidad: la capacidad de generar aplicaciones maliciosas directamente desde el entorno de Google Play Store, lo que incrementa exponencialmente el riesgo de distribución y propagación. El reciente descubrimiento ha encendido las alarmas entre los equipos de respuesta a incidentes y los profesionales responsables de la seguridad en movilidad empresarial.

#### Contexto del Incidente o Vulnerabilidad

El ecosistema Android, debido a su carácter abierto y a la fragmentación de versiones, ha sido históricamente un terreno fértil para la proliferación de RATs y troyanos bancarios. Sin embargo, este caso destaca por el uso avanzado de técnicas que permiten la manipulación de aplicaciones legítimas y su posterior publicación en Google Play sin levantar sospechas inmediatas. El malware ha sido detectado en varias campañas activas desde finales de mayo de 2024, especialmente en regiones de Europa Occidental y Latinoamérica, aunque su potencial de expansión es global.

La amenaza fue identificada por primera vez por un equipo de Threat Intelligence durante el análisis de comportamiento anómalo en dispositivos gestionados bajo políticas de MDM (Mobile Device Management). Posteriormente, el laboratorio de malware de una conocida firma de ciberseguridad confirmó la existencia de múltiples variantes activas en la wild.

#### Detalles Técnicos

El troyano, catalogado provisionalmente como «Android.RAT.Pandora» (no confundir con variantes previas), explota varias vulnerabilidades conocidas en versiones de Android anteriores a la 12.0 (principalmente 9.0 Pie a 11). Si bien aún no se ha asignado un CVE específico a la técnica de generación de apps maliciosas en Google Play, los vectores de ataque identificados se alinean con los siguientes TTP del framework MITRE ATT&CK:

– **T1476**: Deliver Malicious App via App Store
– **T1406**: Exploit OS Vulnerability
– **T1412**: Capture Input via Accessibility Services

La infección inicial suele producirse a través de phishing por SMS (smishing) o mediante la descarga de aplicaciones aparentemente legítimas fuera de la Play Store. Una vez desplegado, el RAT utiliza técnicas de ofuscación avanzada (DexClassLoader, reflection, empaquetado dinámico) para evadir la detección por parte de Google Play Protect y otras soluciones antimalware.

Entre sus funcionalidades destacan:
– **Control remoto completo** del dispositivo (pantalla, cámara, micrófono, GPS)
– **Captura de credenciales** mediante superposición de pantallas (overlay attacks)
– **Interceptación de SMS** para eludir 2FA
– **Generación y publicación automatizada de apps**: mediante la explotación de APIs legítimas y cuentas de desarrollador comprometidas, el malware crea clones de aplicaciones populares, inyectando código malicioso en tiempo real y subiéndolos a Google Play.

Los IoC identificados incluyen hashes SHA256 de APK maliciosas, dominios C2 activos y patrones de tráfico HTTPS cifrado no estándar hacia servidores ubicados en Rusia y Europa del Este.

#### Impacto y Riesgos

El impacto potencial de esta amenaza es significativo. Se estima que al menos un 2% de los dispositivos Android corporativos gestionados en Europa podrían ser susceptibles, especialmente si ejecutan versiones antiguas del sistema operativo o carecen de políticas de control de instalaciones. Según estimaciones preliminares, más de 50.000 descargas maliciosas han sido contabilizadas antes de la retirada de los primeros lotes de apps fraudulentas por parte de Google.

A nivel empresarial, el compromiso de dispositivos puede derivar en la exfiltración de datos confidenciales, acceso no autorizado a redes corporativas, robo de credenciales y, en algunos casos, movimientos laterales hacia infraestructuras internas. El impacto económico potencial, considerando los costes de remediación y posibles sanciones regulatorias (ej. GDPR), podría superar los 5 millones de euros para organizaciones medianas.

#### Medidas de Mitigación y Recomendaciones

Ante la sofisticación de este RAT, los expertos recomiendan implementar una defensa en profundidad:

– **Actualizar dispositivos a Android 12 o superior**
– **Restringir la instalación de apps desde fuentes no verificadas**
– **Aplicar políticas MDM/MAM restrictivas**
– **Monitorizar tráfico saliente hacia dominios IoC**
– **Utilizar soluciones de EDR, específicamente orientadas a endpoints móviles**
– **Formación continua de empleados sobre riesgos de smishing y malware móvil**
– **Auditoría periódica de cuentas de desarrollador asociadas a la organización**

Además, se recomienda a los equipos SOC integrar detecciones YARA y reglas Sigma asociadas a los patrones de comportamiento de este RAT.

#### Opinión de Expertos

Según Ana García, responsable de Threat Intelligence en una multinacional española: “Nos enfrentamos a una nueva generación de RATs que aprovechan tanto debilidades técnicas como lagunas en los procesos de validación de apps. La capacidad de crear y publicar aplicaciones maliciosas desde dentro de la Play Store supone un reto mayúsculo para la industria y las propias tiendas de aplicaciones”.

Por su parte, el analista forense Javier Ruiz añade: “La combinación de técnicas de evasión y la explotación de accesos legítimos a plataformas de desarrollo evidencia la necesidad de reforzar las medidas de control y supervisión, no solo en los endpoints, sino en el propio ciclo de vida del desarrollo de apps”.

#### Implicaciones para Empresas y Usuarios

Las organizaciones deben considerar este incidente como un aviso sobre la importancia de mantener actualizado el parque móvil y revisar los procesos de onboarding de aplicaciones. Asimismo, la posible explotación de cuentas de desarrollador pone de manifiesto la necesidad de una gestión segura de credenciales y el uso de autenticación multifactor.

Para los usuarios finales, la recomendación básica es instalar exclusivamente aplicaciones de desarrolladores verificados y desconfiar de apps que soliciten permisos excesivos o no justificados.

#### Conclusiones

La aparición de este nuevo troyano de acceso remoto para Android, capaz de manipular y generar apps maliciosas desde Google Play, representa una amenaza de alto impacto para el ecosistema móvil. Su sofisticación técnica y potencial de propagación exigen una respuesta coordinada entre fabricantes, desarrolladores y equipos de seguridad. La vigilancia activa, la formación y la actualización tecnológica son, ahora más que nunca, imprescindibles para mitigar riesgos y proteger los activos digitales de empresas y usuarios.

(Fuente: www.darkreading.com)