Los expertos de Kaspersky han descubierto una nueva versión del troyano Necro que logró infiltrarse en aplicaciones de Google Play, afectando a hasta 11 millones de usuarios: España ocupa la primera posición del ranking de Europa entre los países que experimentaron el mayor número de ataques, y la séptima a nivel mundial. Este troyano descarga otros componentes maliciosos en dispositivos infectados, permitiendo a los ciberdelincuentes redirigir tráfico, mostrar anuncios invisibles y suscribir a usuarios a servicios de pago.
A finales de agosto de 2024, los expertos de Kaspersky detectaron una nueva versión del troyano Necro que se infiltró en varias aplicaciones populares de Google Play, así como en versiones modificadas de apps en plataformas no oficiales, como Spotify, WhatsApp y Minecraft. Necro es un troyano diseñado para Android que descarga y ejecuta otros componentes maliciosos en dispositivos infectados, siguiendo las órdenes de sus creadores. Las soluciones de Kaspersky registraron1 ataques de Necro en Rusia, Brasil, Vietnam, Ecuador y México, como parte de esta campaña maliciosa.
Según los datos de Google Play, las aplicaciones infectadas podrían haberse descargado más de 11 millones de veces. Sin embargo, el número real de dispositivos infectados podría ser mucho mayor, teniendo en cuenta que el troyano también se infiltró en versiones modificadas de aplicaciones populares distribuidas a través de fuentes no oficiales. Los datos muestran que las soluciones de seguridad de Kaspersky bloquearon más de diez mil ataques Necro en todo el mundo entre el 26 de agosto y el 15 de septiembre. En este sentido, España ocupa la primera posición del ranking de Europa entre los países que experimentaron el mayor número de ataques, y la séptima a nivel mundial, y el siendo los más afectados Rusia, Brasil y Vietnam.
Capacidades del troyano Necro
La variante de Necro descubierta por los expertos de Kaspersky puede descargar módulos en los smartphones infectados que muestran anuncios en ventanas invisibles y acceder a ellos, descargar archivos ejecutables, instalar aplicaciones de terceros y abrir enlaces arbitrarios de WebView para ejecutar código JavaScript. Basado en sus características técnicas, los expertos aseguran que es probable que el troyano también sea capaz de suscribir a los usuarios a servicios de pago. Además, los módulos descargados permiten a los atacantes redirigir el tráfico de Internet a través del dispositivo de la víctima, lo que permite a los ciberdelincuentes acceder a recursos prohibidos o deseados utilizando el dispositivo de la víctima, usándolo como parte de una red de bots proxy.
Aplicaciones infectadas en plataformas no oficiales
El primer descubrimiento de Necro por parte de los expertos de Kaspersky fue en una versión modificada de Spotify Plus. Los creadores de la aplicación afirmaban que era segura para los dispositivos y ofrecía características adicionales que no se encontraban en la aplicación oficial de música en streaming. Posteriormente, encontraron una versión modificada de WhatsApp que contenía el descargador Necro, seguida de versiones infectadas de juegos populares, incluidos Minecraft, Stumble Guys y Car Parking Multiplayer. Necro se incrustó en estas aplicaciones a través de un módulo de anuncios no verificado.
Aplicaciones infectadas en Google Play
La campaña de Necro se extendió más allá de las plataformas de terceros y también se descubrió en Google Play. El descargador malicioso se encontró en las aplicaciones Wuta Camera y Max Browser. En esta plataforma, Necro también se distribuyó a través de un módulo de anuncios no verificado. Tras el informe de Kaspersky Lab a Google, se eliminó el código malicioso de Wuta Camera y Max Browser fue retirado de la tienda. Sin embargo, los consumidores todavía corren el riesgo de encontrarse con Necro en plataformas no oficiales.
“Los usuarios a menudo descargan aplicaciones no oficiales o modificadas para evitar restricciones en las aplicaciones oficiales o para acceder a funciones adicionales gratuitas. Los ciberdelincuentes se aprovechan de este comportamiento, propagando malware con estas aplicaciones ya que no hay moderación en las plataformas de terceros. Asimismo, es importante destacar que la versión de Necro incrustada en estas aplicaciones utilizó técnicas de esteganografía, ocultando su carga útil dentro de imágenes para permanecer sin ser detectada, un método muy raro en el malware móvil”, comenta Dmitry Kalinin, experto en ciberseguridad de Kaspersky.
Las soluciones de seguridad de Kaspersky protegen contra Necro y detectan el descargador como Trojan-Downloader.AndroidOS.Necro.f y Trojan-Downloader.AndroidOS.Necro.h, con los componentes maliciosos identificados como Trojan.AndroidOS.Necro.
Para protegerse contra esta y
otras amenazas cibernéticas en Android, los expertos de Kaspersky recomiendan:
- Descarga aplicaciones solo de fuentes oficiales.
- Actualiza regularmente el sistema operativo y las aplicaciones instaladas.
- Utiliza una solución de seguridad fiable de un fabricante de confianza cuyos productos estén verificados por laboratorios de pruebas independientes, como Kaspersky Premium.
Para obtener más información sobre el troyano Necro, visita Securelist.
--
1 Datos basados en estadísticas anonimizadas de soluciones Kaspersky del 26 de agosto al 15 de septiembre de 2024.
