Uno de estos malware —que todavía no tiene nombre oficial— fue descubierto por la compañía de seguridad Dr. Web, que lo encontró distribuyéndose a través de ciertas aplicaciones en GetApps (la tienda de aplicaciones para dispositivos Xiaomi).

¿Por qué mi celular da clics solo? Así funciona el troyano Phantom

De acuerdo con el informe, estos malware pertenecen a la familia de troyanos para Android y funcionan de manera curiosa: para iniciarse, los virus hacen uso de TensorFlow.js (la librería de código abierto de Google) para ejecutar modelos de IA a través de navegadores web.

El troyano opera bajo una modalidad conocida como “Phantom”, la cual abre una ventana de navegador invisible y carga una página en la que comienza a hacer clic en diferentes anuncios. Lo más interesante de este virus es que, al utilizar inteligencia artificial, puede ocultar mejor su comportamiento frente a los motores de búsqueda y entender con mayor precisión la ubicación de la publicidad.

¿Puede mi celular estar infectado?

Algunas de las aplicaciones afectadas que fueron encontradas con este malware son las siguientes:

– Theft Auto Mafia: 61,000 descargas.

– Cute Pet House: 34,000 descargas.

– Creation Magic World: 32,000 descargas.

– Amazing Unicorn Party: 13,000 descargas.

– Open World Gangsters: 11,000 descargas.

– Sakura Dream Academy: 4,000 descargas.

Una advertencia importante es que, aunque los troyanos fueron encontrados principalmente en la tienda de aplicaciones de Xiaomi, también están siendo distribuidos a través de otros sitios. Por ejemplo, se hallaron apps infectadas en portales de APK (como Apkmody o Moddroid), especialmente en versiones modificadas de aplicaciones oficiales (por ejemplo, WhatsApp Blue).

Los investigadores también encontraron que las versiones infectadas de estas aplicaciones estaban siendo compartidas a través de ciertos canales de Telegram e incluso en un servidor de Discord llamado “Spotify X” (especializado en distribuir una versión modificada de la aplicación de música).

Aunque la información personal de los afectados no se ve comprometida directamente, esto no significa que representen un peligro menor. Este tipo de virus suelen afectar de manera significativa el consumo de batería, el gasto de datos móviles y la estabilidad del sistema.

Imágenes: Archivo ENTER.CO

Aunque Google removió muchas de las apps de Android infectadas antes de que el reporte de McAfee fuera publicado, según la compañía de seguridad muchas de estas apps todavía están disponibles dentro de la tienda de Android, así como algunas tiendas de apps externas (que son utilizadas por las personas que prefieren realizar instalaciones a través de APK para evitar el impuesto del 30% sobre compras dentro de la app).

Xamalicious es un malware que infecta el celular y a través de ingeniería social (en este caso otorgar permisos dentro del dispositivo) otorga permisos y accesos a un servidor que luego descarga un programa que toma “control completo del equipo y de manera potencial puede ejecutar acciones fraudulentas como hacer clic en anuncios o instalar otras aplicaciones sin la autorización del usuario”.

Estas son las 13 apps que deberías desinstalar de tu dispositivo si las encuentras (y quizás hacer una revisión con un antivirus si no recuerdas haberlo descargado, pues es probable que tengas otra app o software malicioso infectando tu equipo).

– Essential Horoscope for Android

– 3D Skin Editor for PE Minecraft

– Logo Maker Pro

– Auto Click Repeater

– Count Easy Calorie Calculator

– Sound Volume Extender

– LetterLink

– NUMEROLOGY: PERSONAL HOROSCOPE &NUMBER PREDICTIONS

– Step Keeper: Easy Pedometer.

– Track Your Sleep.

– Sound Volume Booster.

– Astrological Navigator: Daily Horoscope & Tarot.

– Universal Calculator – 100 downloads

Imagen po gstudioimagen1 on Freepik

A través de redes sociales, colCERT (el grupo de respuesta de amenazas cibernéticas en Colombia), informó que actualmente se está llevando a cabo una campaña de estafa en la que se envía un correo a personas con el asunto ‘por incumplir Pico y Cédula usted ha recibido una multa de…’

¡Alerta! campaña a través de correo electrónico con asunto “Por incumplir la medida de Pico y Cédula usted ha recibido una multa…” contiene #malware y está siendo utilizado para robar datos personales y financieros “recomendamos eliminarlo de inmediato” @mindefensa @CaiVirtual pic.twitter.com/9MCmVnfF4K

— colCERT (@colCERT) April 20, 2021

El correo que viene acompañado de imágenes del Ministerio de transporte contiene, al parecer, un enlace que dirige al Runt para descargar un documento de tipo PDF, pero que descarga un malware en el computador que tiene como objetivo el robar datos financieros y personales.

Te puede interesar: ¡No instales! WhatsApp Pink: la nueva estafa de la app de mensajería

Como siempre, lo importante es recordar que al momento de recibir este tipo de correos se verifiquen varias cosas. Por ejemplo, es importante revisar cuál es la dirección desde la que proviene la información. También se debe desconfiar de cualquier tipo de enlace directo  para descarga y, en caso de querer validar la información, siempre es mejor constatar directamente a través de los canales oficiales de las entidades que los estafadores están suplantando.

En caso de que tengas este correo en tu bandeja, la recomendación es eliminarlo. En el caso de que hayas descargado el archivo, sugerimos comunicarte a través de canales oficiales con tus entidades bancarías.

No es la primera vez que elementos como el Pico y Cédula son utilizados para engañar a ciudadanos. colCERT también ha alertado en otras oportunidades sobre campañas similares que utilizan eventos de coyuntura (por ejemplo correos que aseguran que ha sido agendado para la vacunación) o incluso marcas nacionales (que apelan a promociones especiales) a través de grupos de WhatsApp.

Imágenes: Pixabay

En este punto es importante resaltar que los investigadores no fueron particularmente claro en explicar cómo funciona esta vulnerabilidad. Lo único que revelaron es que es “prácticamente indetectable” y que involucra el envío de un mensaje especial. La compañía afirma que tiene evidencia y que esta comprobaría su existencia por al menos dos años. ZecOps ha rastreado al menos seis objetivos: miembros de una compañía de comunicaciones en Japón, una firma norteamericana importante, compañías de tecnología en Israel y Arabia Saudita, un ciudadano alemán y un periodista Europeo.

Te puede interesar: Apple permitiría dejar apps terceras como predeterminadas

El problema está en que ZecOps no ha podido obtener directamente el malware. La razón es que los mensajes ya habían sido eliminados. Esto hace que la evidencia sobre él sea escasa y la mayoría de ella se obtuviera a través de iOS. Aunque Apple no ha respondido a los descubrimientos, los investigadores creen que esta vulnerabilidad ya habría sido arreglada con alguna actualización en una Beta de iOS (seguramente 13.4.5). Pero es complicado saber cuánto daño exactamente pudo causar (incluso con lo limitado que se presenta con los descubrimientos), debido a que la misma investigación asegura que no hay muestras de que los ataques utilizando este método sean frecuentes.

Imágenes: Pexels

De acuerdo con el medio, una investigación de Palo Alto Networks encontró una gran cantidad de instaladores falsos de Flash que no solo instalan la herramienta sino que dejan malware de minería de criptomonedas en computadores vulnerables.

Los investigadores afirman que esta nueva técnica es una forma de engañar a los usuarios haciéndoles creer que están instalando una copia legítima de Flash. Sin embargo, cuando el instalador se abre, este ejecuta XMRig. Este es un software de minería de criptomonedas de código abierto. Una vez instalada, la herramienta utiliza el procesador y la tarjeta gráfica del computador para minar sin que el usuario haya dado el permiso ni lo perciba.

Según datos de los investigadores, se han encontrado cerca de 100 instaladores de Flash falsos bajo esta modalidad.

Flash sigue siendo un dolor de cabeza

Una de las razones por las que comenzó el cambio de este software hacia nuevas tecnologías tiene que ver con la vulnerabilidad que presentaban los usuarios al instalar el plugin. De esta forma, una de las soluciones de navegadores como Chrome fue incluir su tecnología dentro del navegador, para evitar que los usuarios cayeran en este tipo de problemas.

Y, aunque en la actualidad prevalecen otras tecnologías como HTML5, Flash no ha terminado de morir. Al parecer este dolor de cabeza solo va a terminar el 31 de diciembre de 2020, fecha en la que Adobe le hará eutanasia a dicha tecnología.

Imagen: Adobe.

Una firma de seguridad digital encontró al menos 50 apps dentro de Google Play que estaban haciendo cargos por servicios que supuestamente eran gratis. Estos cobros se generaban sin el conocimiento o permiso de los usuarios.

Estas apps fueron descargadas al menos 4,2 millones de veces, informó ArsTechnica. Google eliminó las apps justo después de que fueran reportadas. Pero en cuestión de días, otras apps con el mismo tipo de ‘virus’ lograron ingresar a la app store y alcanzaron a infectar más de 5.000 dispositivos.

La firma de seguridad Check Point llamó a la familia de malware ExpensiveWall. Las apps de esta familia lograron subir a sus servidores números de celular, ubicaciones e identificadores de hardware. Luego estas apps usaron los números de celular para registrar a los usuarios a servicios premium y para enviarles mensajes de textos fraudulentos que generaban cargos a los usuarios. Los investigadores de Check Point no pudieron determinar cuánto dinero obtuvieron las aplicaciones.

ExpensiveWall usaba una técnica común de ofuscación conocida como ‘packing’. Los atacantes logran comprimir o cifrar un archivo ejecutable antes de la app que se subiera a Play, y así podían esconder el virus de los escáneres de malware de Google.

Aunque el ‘packing’ es un método de hace más de una década, Google no pudo capturar las apps, incluso luego de que la primera tanda fue eliminada. Esto nos indica lo efectiva que aún es esta técnica.

De acuerdo con el reporte de Check Point, aunque ExpensiveWall actualmente está diseñado únicamente para generar ganancias de sus víctimas, este mismo virus se podría modificar para robar fotos, audios e información sensible de los usuarios.

Lo más preocupante es que incluso luego de que Google eliminara las apps de Play, muchos de los celulares seguirán infectados hasta que los usuarios desinstalen las apps.

¿Cómo proteger tu smartphone?

Google dice que su función Play Protect (antes Verify Apps) borra automáticamente las apps de los smartphones afectados.

Sin embargo, muchos celulares nunca son desinfectados porque los usuarios no tienen encendida la función por defecto, o están usando una versión vieja de Android que no tiene soporte para la misma.

Si quieres saber cuáles son las aplicaciones infectadas, revisa el reporte de Check Point, donde encuentras la lista completa de las apps.

En repetidas ocasiones Google ha permitido que aplicaciones con malware entren en Play. Es por eso que el medio recomienda que los usuarios de Android limiten las apps que instalan en sus celulares. También se sugiere leer con cuidado los comentarios de las apps y examinar los permisos que solicita la app antes de descargarlas.

Recomendamos asegurarse de que Play Protect esté encendida. La puedes activar dentro de Google Play > Opciones > Play Protect y activar la función.

Imagen: Pixabay.