Una nueva estafa cibernética, denominada Dark Herring, ha afectado ya a 105 millones de usuarios de dispositivos móviles con sistema Android que instalaron aplicaciones que resultaron ser maliciosas. Los delincuentes informáticos usan esta modalidad para cobrar hasta 15 dólares al mes por servicios prémium ficticios sin que las víctimas lo sepan.
La campaña, que ha descubierto la compañía de ciberseguridad Zimperium, se distribuye a través de aplicaciones que no despiertan sospechas ya que resultan operativas, pero que cobran a sus usuarios por servicios que no ofrecen sin su conocimiento a través de su factura telefónica.
Las primeras aplicaciones pertenecientes a la campaña Dark Herring comenzaron a publicarse a partir de marzo de 2022, lo que le convierte en una de las estafas más longevas de este tipo, según Zimperium. En total se han identificado 470 apps implicadas, publicadas hasta noviembre de 2021.
En la mayoría de los casos (38,9 %) las aplicaciones estaban publicadas en la categoría de entretenimiento de Play Store, seguida por herramienta (8,3 %), fotografía (8,3 %), carreras (7,7 %) y productividad (7 %).
Los expertos advierten que estas aplicaciones maliciosas, publicadas a través de Google Play y otras plataformas de apps de terceros, ya han sido eliminadas de la biblioteca oficial de Google, pero aún permanecen en las de terceros y pueden continuar instaladas en los dispositivos que las han descargado.
En total, 105 millones de usuarios de móviles Android de 70 países diferentes han descargado las aplicaciones maliciosas con Dark Herring, a los que se les cobra en concepto de servicios prémium falsos una media de 15 dólares al mes. Los países europeos más afectados han sido los nórdicos y bálticos, Grecia y Bulgaria.
En muchos casos, las víctimas pueden no darse cuenta de la estafa hasta que les llega la factura de su operador telefónico, ya que la app solo necesita el número de teléfono para realizar la suscripción. La sofisticación del ataque también ha retrasado su descubrimiento de parte de las plataformas oficiales, según Zimperium.
Campaña de troyanos en Android
La compañía Threat Fabric, especializada en seguridad cibernética, compartió a finales de 2021 los resultados de una investigación sobre una serie de troyanos bancarios que ha estado disponible en Google Play Store, la tienda de aplicaciones de dispositivos Android. Los troyanos han sido instalados más de 300.000 veces en más de 15 países.
La investigación ha desvelado una campaña de droppers, un tipo de aplicación diseñada para instalar un malware en un equipo infectado, en este caso, un troyano bancario. El informe de Threat Fabric señala cuatro familias de malware: Anatsa, con más de 200.000 instalaciones; Alien, con más de 95.000 instalaciones; Hydra y Ermac, con más de 15.000 instalaciones.
Según explican los expertos de la compañía, los droopers son difíciles de detectar por los sistemas automáticos porque tienen una “huella maliciosa muy pequeña” y porque la instalación manual del troyano solo se realizaba en caso de que los ciberdelincuentes detrás de la app quisieran llegar a más víctimas en una región determinada.
Los droppers se hacían pasar por aplicaciones como lectores de códigos QR o de documentos PDF, o incluso de aplicaciones de actividad física. Estas falsas apps estaban disponibles en la tienda Google Play Store, en la que han pasado desapercibidas en parte por los cambios introducidos en la propia plataforma.
Dichos cambios se refieren a la limitación de los permisos, lo que ha llevado a los cibercriminales a evitar la instalación automática sin el consentimiento del usuario. Ahora las campañas se han vuelto más sofisticadas y han tenido que reducir la huella maliciosa desde el código para fundirse aún más entre el resto de aplicaciones legítimas.
*Con información de Europa Press.