Falsa alerta de Google instala aplicación maliciosa en dispositivos Android

Durante las últimas semanas hemos estado viendo como las amenazas para dispositivos Android dirigidas a usuarios españoles han cobrado un especial protagonismo. Los delincuentes saben que cada vez usamos más nuestros dispositivos móviles, ya sea para mantenernos comunicados, consumir contenido o realizar transacciones online. Además, algunas amenazas se están cebando especialmente con los usuarios españoles, tal y como vamos a ver a continuación.

Advertencia de Google

Desde mediados de diciembre venimos observando varias campañas dirigidas precisamente a usuarios españoles de Android. Primero fue la reutilización de una plantilla ya conocida, como la que ofrecía la instalación de Flash Player en nuestro dispositivo para, pocos días después, utilizar una plantilla bastante más dirigida que suplantaba el servicio postal estatal de Correos.

Ahora vemos como los delincuentes utilizan otra aproximación para conseguir instalar código malicioso en nuestro dispositivo Android. Durante las últimas horas hemos observado, gracias a los avisos de investigadores como MalwareHunterTeam, mensajes como el que vemos a continuación al visitar una web controlada por quienes se encuentran detrás de esta amenaza.

Paradójicamente, los delincuentes advierten del peligro de la instalación de aplicaciones maliciosas en nuestros dispositivos que podrían robar o eliminar la información almacenada en ellos. Esta alerta les sirve como gancho para tratar de captar la atención de los usuarios, ofreciéndoles un botón de actualización que redirige a la descarga de la aplicación maliciosa.

Recordemos que esta aplicación está diseñada únicamente para funcionar solo bajo el sistema operativo Android, por lo que los usuarios de dispositivos Apple no se ven afectados por esta amenaza.

Permisos solicitados y finalidad de esta amenaza

Si analizamos la aplicación descargada podemos observar como esta adquiere una serie de permisos que pueden resultar peligrosos si son usados por una aplicación maliciosa, como en este caso. Entre estos permisos encontramos algunos como el de recibir SMS que pueden ser utilizados, por ejemplo, por troyanos bancarios para interceptar los mensajes enviados por nuestra entidad como doble factor de autenticación a la hora de realizar una transferencia.

Además, los delincuentes tendrían acceso a nuestra lista de contactos, así como también la posibilidad de robar o modificar archivos guardados en el almacenamiento del dispositivo, entre otras muchas acciones que pueden causar un gran daño a aquellos usuarios que sean infectados por amenazas de este tipo.

Sin embargo, estas acciones maliciosas pueden ser detectadas incluso antes de llegar a instalar la aplicación si contamos con una solución de seguridad. De cualquier forma, es importante recordar que nunca debemos instalar aplicaciones de fuentes que no sean las oficiales salvo que estemos absolutamente seguros de ello.

En este caso, todos los indicios apuntan a que estaríamos ante una variente del malware Cerberus o alguno de sus derivados como el más reciente malware conocido como Alien.

Procedencia de estos ataques

Cuando hablamos de estas amenazas tan dirigidas siempre nos preguntamos quién hay detrás. No es que en otros no se produzcan casos similares, que los hay, pero desde este blog intentamos centrarnos en aquellos ataques dirigidos a usuarios españoles y tratar de averiguar quiénes los llevan a cabo.

A primera vista podríamos pensar que se trata de una campaña internacional y que el inglés es el idioma por defecto usado para mostrar el mensaje de alerta, pero en esta ocasión es el español el idioma que está configurado como base en la web fraudulenta.

Es a partir del español que se realiza la traducción del texto a otros idiomas, basándose en la configuración del navegador utilizado por el usuario para visitar esta web. Además, es en este punto donde podemos empezar a sospechar la procedencia de estas campañas, ya que vemos como se hace referencia a Rusia en uno de los parámetros.

Si seguimos analizando el código fuente de esta web, vemos como además los desarrolladores han dejado comentarios en ruso acerca del justificado y sangría del texto o el color de fondo de la web.

A pesar de esto, siempre hemos de coger con pinzas estas pistas que nos ayudan a detectar la procedencia de este tipo de ataques. En esta ocasión parece clara, y además concuerda con el desarrollo de ciertas amenazas para Android que hemos venido observando en los últimos meses, pero cuando analizamos ataques más avanzados y dirigidos a grandes empresas, gobiernos y organismos oficiales nunca podemos descartar la posibilidad de que se trate de un ataque de falsa bandera en el que se dejan estas pistas para hacer creer que los responsables provienen de un país o región en concreto.

Conclusión

El aumento de este tipo de campañas dirigidas a usuarios españoles de Android confirma una tendencia que ya observamos durante 2020, especialmente durante los primeros meses del confinamiento. Los delincuentes cada vez se centran más en dispositivos móviles, y aunque el número de amenazas detectadas en ellos sigue siendo pequeño si lo comparamos con las que van dirigidas a sistemas Windows, no podemos ignorarlos, ya que pueden causar tanto o más daño que si infectan nuestro ordenador.

Josep Albors

Siguen los mensajes SMS suplantando a correos para propagar troyanos bancarios