331 aplicaciones de virus: cómo el código malicioso pasó a través de los filtros de Google Play

Los investigadores han descubierto una gran campaña de aplicaciones maliciosas para Android, descargadas más de 60 millones de veces desde Google Play. Estos programas se utilizaron para mostrar publicidad intrusiva y robar credenciales y datos de tarjetas bancarias.

Los analistas de IAS Threat Lab han denominado esta actividad como «Vapor» y informaron que el ataque ha estado activo desde principios de 2024. Durante la investigación, identificaron 180 aplicaciones relacionadas con esquemas fraudulentos, que generaban hasta 200 millones de solicitudes de anuncios diariamente. Sin embargo, una investigación más detallada de Bitdefender aumentó el número de aplicaciones maliciosas a 331, detectando la mayor cantidad de infecciones en Brasil, EE. UU., México, Turquía y Corea del Sur.

Las aplicaciones distribuidas en esta campaña ofrecían diversas utilidades, como herramientas para el seguimiento de la salud y la actividad física, organizadores, optimizadores de batería y escáneres de códigos QR. Lograban pasar la verificación de Google Play porque inicialmente no contenían código malicioso. Sin embargo, después de la instalación, los programas descargaban componentes maliciosos desde un servidor de control.

Según Bitdefender, estas aplicaciones ocultaban su actividad desactivando la "Launcher Activity" en el archivo AndroidManifest.xml, volviéndose invisibles para el usuario. En algunos casos, se hacían pasar por aplicaciones del sistema, como Google Voice. Una vez ejecutadas, activaban módulos ocultos y seguían funcionando en segundo plano.

Además, las aplicaciones maliciosas evadían las restricciones de Android 13+, creando superposiciones de pantalla completa que bloqueaban la posibilidad de cerrar los anuncios. También se ocultaban de la lista de aplicaciones recientemente abiertas, impidiendo que el usuario identificara qué programa estaba generando las ventanas emergentes.

Algunas de las aplicaciones iban más allá del fraude publicitario: falsificaban las pantallas de inicio de sesión de Facebook y YouTube, engañando a las víctimas para que ingresaran sus credenciales, además de solicitar información de tarjetas bancarias bajo distintos pretextos.

Aunque todas las aplicaciones maliciosas identificadas han sido eliminadas de Google Play, los expertos advierten que los atacantes podrían repetir la ofensiva subiendo nuevas versiones de estas aplicaciones. Los investigadores destacan que los desarrolladores usaron múltiples cuentas para subir las aplicaciones, minimizando el riesgo de eliminaciones masivas.

Las aplicaciones infectadas más populares fueron:

— AquaTracker — 1 millón de descargas;

— ClickSave Downloader — 1 millón de descargas;

— Scan Hawk — 1 millón de descargas;

— Water Time Tracker — 1 millón de descargas;

— Be More — 1 millón de descargas;

— BeatWatch — 500 000 descargas;

— TranslateScan — 100 000 descargas;

— Handset Locator — 50 000 descargas.

La publicación de estas aplicaciones ocurrió entre octubre de 2024 y enero de 2025, mientras que las últimas subidas a la plataforma se realizaron hasta marzo.

Los expertos recomiendan a los usuarios de Android evitar instalar aplicaciones innecesarias de desarrolladores desconocidos, revisar cuidadosamente los permisos solicitados y comprobar periódicamente la lista de aplicaciones instaladas en «Configuración → Aplicaciones → Todas las aplicaciones».

Si se encuentra alguna de las aplicaciones listadas en el dispositivo, debe eliminarse de inmediato y realizar un escaneo completo del sistema con Google Play Protect y software antivirus.