Cientos de aplicaciones Android maliciosas en Google Play superan los 40 millones de descargas en un año

Introducción

El ecosistema Android vuelve a situarse en el centro de la discusión sobre ciberseguridad tras la publicación de un informe de Zscaler que revela la existencia de cientos de aplicaciones maliciosas en Google Play. Entre junio de 2024 y mayo de 2025, estas apps consiguieron acumular más de 40 millones de descargas, exponiendo a usuarios y organizaciones a amenazas como robo de credenciales, fraude financiero y espionaje. Este episodio, que pone en entredicho la eficacia de los controles de Google, subraya la importancia de una estrategia de defensa en profundidad tanto para usuarios individuales como para entornos corporativos.

Contexto del Incidente

Según el equipo ThreatLabz de Zscaler, la investigación identificó más de 300 aplicaciones maliciosas que lograron evadir los filtros automáticos de Google Play. Muchas de ellas suplantaban utilidades populares, como gestores de archivos, editores de fotos y aplicaciones de productividad, camuflando su verdadera naturaleza mediante técnicas de ofuscación avanzada y cambios frecuentes de código. La tendencia al alza de este tipo de amenazas coincide con la proliferación de malware móvil especializado en el robo de información, como troyanos bancarios y spyware.

El problema no es nuevo: pese a los esfuerzos de Google por reforzar Play Protect y los mecanismos de revisión, la tienda oficial sigue siendo un vector de distribución efectivo para actores maliciosos. En este caso, se detectaron campañas coordinadas que desplegaban variantes de malware ampliamente conocidas, incluyendo Joker, Anatsa y ERMAC, aprovechando la confianza de los usuarios en la plataforma oficial.

Detalles Técnicos

Las aplicaciones identificadas explotaban una variedad de vectores de ataque y técnicas de persistencia. Entre las familias de malware más destacadas se encuentran:

– Joker (CVE-2017-13156, CVE-2018-9442): especializado en suscribir a las víctimas a servicios premium sin consentimiento.
– Anatsa (también conocido como TeaBot): troyano bancario que utiliza la superposición de pantallas (overlay attacks) para robar credenciales financieras.
– ERMAC: variante sofisticada basada en código fuente de Cerberus, con capacidades de keylogging, interceptación de SMS y robo de autenticación de doble factor (2FA).

Los TTPs observados corresponden principalmente a técnicas de ingeniería social (T1566), abuso de permisos (T1406) y evasión de controles de seguridad (T1407), según la matriz MITRE ATT&CK para móviles. Una vez instaladas, muchas apps solicitaban permisos excesivos, como acceso a SMS, contactos y servicios de accesibilidad, logrando así escalar privilegios y eludir mecanismos de detección.

Indicadores de Compromiso (IoC) incluyen hashes de apps maliciosas, dominios de comando y control (C2) como “api[.]maliciousupdates[.]xyz” y patrones de tráfico anómalo hacia servidores ubicados en Europa del Este y Asia Central. Existen exploits públicos y módulos específicos en frameworks como Metasploit para la explotación de ciertas vulnerabilidades relacionadas con la ejecución de código y la escalada de privilegios en Android.

Impacto y Riesgos

El impacto de esta campaña es significativo. Se estima que alrededor del 8% de los dispositivos Android en entornos empresariales pueden haber estado expuestos a alguna de estas aplicaciones. El robo de credenciales y datos sensibles puede derivar en fraudes bancarios, suplantación de identidad, acceso no autorizado a redes corporativas y exfiltración de datos protegidos bajo normativas como GDPR y NIS2.

Además, la presencia de spyware y troyanos bancarios eleva el riesgo de ataques dirigidos, movimientos laterales en infraestructuras empresariales y compromiso de cuentas privilegiadas. El coste económico potencial, incluyendo fraudes y costes de remediación, se cifra en decenas de millones de euros anuales a nivel global.

Medidas de Mitigación y Recomendaciones

Para mitigar el impacto de estas amenazas, se recomienda:

– Restringir la instalación de aplicaciones únicamente a fuentes verificadas y evitar apps con permisos excesivos.
– Implementar soluciones EDR/MDR con capacidades de análisis móvil y sandboxing.
– Realizar auditorías periódicas de dispositivos y políticas de BYOD, aplicando controles de acceso basados en riesgo.
– Actualizar las políticas de seguridad móvil para incluir la monitorización de tráfico saliente y el bloqueo de dominios C2 conocidos.
– Formar a usuarios y empleados sobre los riesgos de instalar aplicaciones no verificadas y la importancia de revisar los permisos solicitados.

Opinión de Expertos

Especialistas del sector, como Chema Alonso y el equipo de ElevenPaths, advierten que la sofisticación de las amenazas móviles está alcanzando niveles comparables al malware de escritorio. “La velocidad con la que los atacantes iteran sus técnicas y burlan los controles automatizados de Google Play es preocupante. La defensa debe ser multicapa y proactiva”, señala Alonso. Analistas de SOC recomiendan reforzar la correlación de eventos móviles con el resto de la infraestructura SIEM para detectar movimientos laterales y exfiltración de datos.

Implicaciones para Empresas y Usuarios

Para las organizaciones, este incidente pone de relieve la necesidad de gestionar los dispositivos móviles como parte integral de la superficie de ataque. Los administradores de sistemas y CISOs deben revisar las políticas de MDM y asegurarse de que los dispositivos corporativos y BYOD cumplen los requisitos mínimos de seguridad.

A nivel de usuario, la educación y concienciación son clave para minimizar la descarga de aplicaciones fraudulentas. El incidente también puede motivar una revisión regulatoria en la UE, especialmente en el marco de la NIS2 y la protección de datos bajo GDPR, ante la posible responsabilidad de los marketplaces ante campañas masivas de malware.

Conclusiones

La masiva descarga de aplicaciones maliciosas desde Google Play entre 2024 y 2025 evidencia la urgencia de reforzar las estrategias de seguridad móvil. La sofisticación de las amenazas, la facilidad de evasión de controles y el impacto potencial en datos y economía subrayan la necesidad de una respuesta coordinada entre usuarios, empresas y proveedores de plataformas. Solo mediante una defensa en profundidad y una vigilancia constante podrá mitigarse el riesgo creciente en el entorno móvil.

(Fuente: www.bleepingcomputer.com)