Un nuevo troyano ha puesto en alerta a los expertos en ciberseguridad tras haber infectado más de 10 millones de dispositivos Android. Este malware, detectado tanto en aplicaciones disponibles en Google Play como en versiones modificadas (mods) de populares apps como Spotify y WhatsApp, llega a nuestras pantallas, nunca mejor dicho, con el nombre Necro.
¿Cuántas veces hemos dicho que tienes que tener un extremo cuidado a la hora de descargar APKs modificadas desde fuera de Google Play ? Pues este ejemplo nos viene al pelo, ya que en este caso han sido utilizadas para propagar este troyano que tiene la capacidad de registrar las pulsaciones de teclado, robar información confidencial, instalar otros tipos de malware y ejecutar comandos de forma remota.
Pero, además de en estos mods, el malware se ha colado en otras apps que sí han pasado los filtros de la tienda de Android como Wuta Camera y Max Browser. La primera cuenta con más de 10 millones de descargas, y Max Browser, con más de un millón de instalaciones, por lo que 11 millones de dispositivos están potencialmente afectados por este virus.
Lo bueno es que ya han sido eliminadas de la tienda tras la intervención de Google, pero el daño ya está hecho.
Cuidado con Spotify premium gratis
Además de en estas dos app, se descubrió que diversas versiones modificadas de aplicaciones como Spotify, WhatsApp y juegos como Minecraft también estaban infectadas. Estos mods, disponibles en sitios web de terceros y que a menudo funciones premium sin pagar un euro, como la versión de Spotify que ofrece acceso gratuito a las características de la suscripción premium, son un excelente reclamo para los usuarios y para los ciberdelincuentes, que ven como los usuarios estarían dispuestos a vender su alma por ahorrar unos euros.
¿Cómo se propaga Necro?
El mod de Spotify es un ejemplo perfecto de cómo los atacantes emplean diferentes técnicas para infectar dispositivos. En este caso, los investigadores encontraron que el mod implementaba un SDK publicitario que ocultaba el troyano. Al interactuar con ciertos módulos basados en imágenes, el troyano se desplegaba, y desde allí podía ejecutar acciones como mostrar anuncios en ventanas invisibles, descargar y ejecutar archivos adicionales, e incluso suscribir al usuario a servicios de pago sin que lo supiera.
Otro caso similar ocurrió con la versión modificada de WhatsApp, donde los atacantes sobrescribieron el servicio Firebase Remote Config de Google para utilizarlo como un servidor de comando y control . Este método permitía a los cibercriminales controlar los dispositivos infectados de manera remota y llevar a cabo una variedad de actividades maliciosas.
Lo más preocupante de este virus es su capacidad para explotar vulnerabilidades en ciertos dispositivos. De hecho, los expertos en ciberseguridad alegan que los smartphones con chipsets MediaTek, la mayoría de los smartphones de gama media y baja, son especialmente vulnerables.
En ellos, al igual que sucede con las apps modificadas, el virus puede descargar archivos ejecutables, instalar aplicaciones de terceros y ejecutar código JavaScript a través de ventanas WebView invisibles, lo que permite a los atacantes tomar un control casi total del dispositivo afectado.
Como te hemos dicho antes, para evitar tener que lidiar con estos problemas, no te descargues aplicaciones desde fuentes no oficiales. Es cierto que Google Play no está exento de vulnerabilidades, como es este caso, pero la probabilidad de que una aplicación esté infectada es mucho menor en comparación con las APKs modificadas que circulan en sitios web de terceros. Además, es crucial mantener actualizado el sistema operativo y todas las aplicaciones que hayas instalado en tu teléfono.