Hasta 25 millones de teléfonos Android han sido atacados con malware que reemplaza aplicaciones instaladas como WhatsApp con versiones falsas que ofrecen anuncios, advirtieron los investigadores de ciberseguridad el miércoles.
Conocido como, Agente Smith, el malware abusa de las debilidades previamente conocidas en el sistema operativo Android, lo que hace que la actualización a la última versión del sistema operativo de Google sea una prioridad, dijo la compañía de seguridad israelí, Check Point.
La mayoría de las víctimas tienen su base en la India, donde, a la fecha, van 15 millones de teléfonos infectados. Pero hay más de 300,000 en Estados Unidos y alrededor de 137,000 en Reino Unido. Lo que hace de esta una de las amenazas más graves que ha afectado al sistema operativo de Google, recientemente.
El malware se ha propagado a través de una tienda de aplicaciones de terceros, llamada, 9apps.com, que es propiedad de Alibaba de China, en lugar de la tienda oficial de Google Play. Por lo general, dichos ataques que no son de Google Play se centran en países en vías de desarrollo, lo que hace que el éxito de los hackers en los EU y en Reino Unido sea más notable, dijo Check Point.
Si bien, las aplicaciones ‘reemplazadas’ ofrecerán anuncios maliciosos, quienquiera que esté detrás de los hackeos podría hacerlo peor, advirtió Check Point en un blog. “Debido a su capacidad para ocultar el ícono del lanzador y suplantar cualquier aplicación popular existente en un dispositivo, existen infinitas posibilidades de que este tipo de malware dañe el dispositivo de un usuario”, escribieron los investigadores.
Dijeron que habían advertido a Google y a las agencias pertinentes de aplicación de la ley. Google no había proporcionado comentarios al momento de esta publicación.
Por lo general, el ataque funciona de la siguiente manera: los usuarios descargan una aplicación de la tienda como: aplicaciones de fotos, juegos o aplicaciones para adultos (una llamada Kiss Game: Touch Her Heart se anuncia con una caricatura de un hombre que besa a una mujer con poca ropa). Esta aplicación luego instala el malware en silencio, disfrazada como una herramienta de actualización legítima de Google.
No aparece ningún icono para esto en la pantalla, lo que lo hace aún más disimulado. Las aplicaciones legítimas, desde WhatsApp hasta el navegador Opera y más, se reemplazan con una actualización maliciosa para que sirvan los anuncios infectados. Los investigadores dijeron que los anuncios en sí mismos no eran maliciosos per se. Pero en un esquema típico de fraude de anuncios, cada clic en un anuncio inyectado enviará dinero a los hackers, según un sistema típico de pago por clic.
Hay algunos indicios de que los atacantes están considerando mudarse a Google Play. Los investigadores de Check Point dijeron que habían encontrado 11 aplicaciones en la tienda de Google que contenían una parte “inactiva” del software de los hackers. Google rápidamente bajó esas aplicaciones de su plataforma.
Check Point cree que una compañía china anónima con sede en Guangzhou ha estado creando el malware, mientras opera una empresa que ayuda a los desarrolladores chinos de Android a promover sus aplicaciones en plataformas en el extranjero.
Alibaba no había respondido a una solicitud de comentarios sobre la proliferación de malware en la plataforma 9apps al momento de la publicación de este artículo.
Cómo saber si fuiste afectado por el malware escondido en WhatsApp que infectó a 25 millones de celulares
Si los usuarios experimentan que anuncios publicitarios se muestran en momentos inesperados, como cuando abren WhatsApp, es una señal inmediata. El WhatsApp legítimo, no muestra anuncios.
Primero, vaya a la configuración de Android, luego a la sección de aplicaciones y notificaciones. Luego, acceda a la lista de información de la aplicación y busque aplicaciones sospechosas con nombres como Google Updater, Google Installer for U, Google Powers y Google Installer. Haga clic en la aplicación sospechosa y elija desinstalarla, detalló el portal Forbes.
Para prevenirlo, los usuarios solo deben descargar aplicaciones de las tiendas de aplicaciones de confianza para mitigar el riesgo de infección, ya que las tiendas de aplicaciones de terceros a menudo carecen de las medidas de seguridad necesarias para bloquear las aplicaciones cargadas de software publicitario.
Entonces, ¿qué pueden hacer los ansiosos propietarios de Android? El jefe de ciberanálisis y respuesta de Check Point, Aviran Hazum, dijo que si los usuarios experimentan anuncios que se muestran en momentos extraños, como cuando abren WhatsApp, deben actuar. El WhatsApp legítimo, por supuesto, no sirve anuncios.
Para evitar la instalación de este malware debemos revisar si tenemos algunas aplicaciones como WhatsApp, flipkart.android, opera.mini.native, eterno, truecaller, lenovo.anyshare.gps, good.gamecollection y cuatro apps que empiecen por jio como jio.join.
Primero, ve a la configuración de Android, luego a la sección de aplicaciones y notificaciones. Luego, accede a la lista de información de la aplicación y busca aplicaciones sospechosas con nombres como Google Updater, Google Installer for U, Google Powers y Google Installer. Haz clic en la app sospechosa y elige desinstalar.
De lo contrario, mantenerse alejado de las tiendas de aplicaciones no oficiales de Android podría ser útil, dadas las protecciones adicionales de Google diseñadas para evitar que el malware ingrese al sitio. No es que los esfuerzos de Google siempre den resultados. A principios de esta semana, se emitió una advertencia sobre la propagación de malware de Android en Google Play, que consistía en la grabación de pantalla de sesiones bancarias de los usuarios.
El consejo de los expertos que descubrieron el Agente Smith es que actualices tu dispositivo Android a la última versión, que compruebes el launcher que es donde se esconde el virus y que incorpores todos los parches de seguridad posibles.
