Pilas: en ‘apps’ de edición de fotos se puede propagar un troyano que infecta el computador

Si es un apasionado de las fotos y de su edición, tenga en cuenta que fue descubierto una nueva familia de troyanos por suscripción llamado Fleckpe, que se propaga a través de apps de edición y fondos de pantalla.

Dicho troyano suscribe al usuario desprevenido a servicios pagos. Fleckpe ha infectado más de 620.000 dispositivos desde que se detectó en 2022, con víctimas en todo el mundo.

Dmitry Kalinin, investigador de seguridad en Kaspersky, explicó que de vez en cuando aplicaciones maliciosas que parecen inofensivas se cargan en tiendas de aplicaciones.

Entre estas se encuentran los troyanos de suscripción, que son algunos de los más complicados, y que a menudo pasan desapercibidos hasta que la víctima se da cuenta que le han cobrado por servicios que nunca tuvo la intención de comprar. Otros dos ejemplos son la familia Joker y Harly, recientemente descubierta.

Disfrazada de app de edición

La nueva familia de troyanos denominada “Fleckpe” se propaga bajo la apariencia de apps de edición de fotos, paquetes de fondos de pantalla y otras aplicaciones. Es más, suscribe al usuario a servicios pagos sin su consentimiento.

Hay que han encontrado al menos 11 aplicaciones infectadas que se han instalado en más de 620.000 dispositivos. Aunque las aplicaciones se eliminaron de la tienda de apps en Google Play, es posible que los ciberdelincuentes continúen implementando este malware en otras apps, lo que significa que el número real de instalaciones probablemente sea mayor.

Cómo funciona

La app infectada inicia una biblioteca que contiene un dropper malicioso responsable de descifrar y ejecutar una carga útil desde los activos de la aplicación.

La experta explicó que esta carga útil establece una conexión con el servidor de comando y control de los atacantes y transmite información sobre el dispositivo infectado, incluidos los detalles del país y del operador.

Luego se proporciona una página de suscripción paga y el troyano abre en secreto un navegador web e intenta suscribirse al servicio de pago en nombre del usuario. Si la suscripción requiere un código de confirmación, el malware accede a las notificaciones del dispositivo para obtenerlo.

El troyano suscribe a los usuarios a un servicio de pago sin su consentimiento, lo que provoca que la víctima pierda dinero. Curiosamente, la funcionalidad de la aplicación no se ve afectada y los usuarios pueden continuar editando fotos o configurando fondos de pantalla sin darse cuenta de que se les ha cobrado un servicio.

Kalinin aseveró que “los troyanos de suscripción solo han ganado popularidad entre los estafadores últimamente. Los ciberdelincuentes que los utilizan recurren cada vez más a mercados oficiales para propagar su malware. La creciente complejidad de los troyanos les ha permitido eludir con éxito muchos controles antimalware implementados por los mercados, permaneciendo sin ser detectados durante largos períodos de tiempo”.

A menudo, los usuarios afectados no logran descubrir las suscripciones no deseadas de inmediato, y mucho menos descubrir cómo se realizó la suscripción en primer lugar. Todo esto convierte a los troyanos de suscripción en una fuente confiable de ingreso ilegal en los ojos de los ciberdelincuentes.

Por tal motivo, hay que cuidado con las aplicaciones, incluso aquellas de tiendas de aplicaciones y recordar verificar qué permisos se otorga a las aplicaciones instaladas; algunas de ellas pueden representar un riesgo para la seguridad.