Cabecera blog ciberseguridad

Aplicaciones móviles maliciosas: ¿Sabes qué instalas en tu smartphone?

- Ciber 4 All Team

Las aplicaciones móviles maliciosas pueden provocar graves consecuencias para empresas y ciudadanos

Las aplicaciones móviles maliciosas permiten infectar los smartphones con malware para cometer fraudes bancarios o espiar a personas y empresas

Fotos, vídeos, documentos, mensajes, aplicaciones… Sin darnos cuenta, vamos agotando el espacio de la memoria de nuestro móvil. Para ayudarnos a liberar espacio tenemos a nuestra disposición en la Play Store y la App Store aplicaciones diseñadas expresamente para ello. Pero… ¿y si se tratan de aplicaciones móviles maliciosas?

El año pasado, Google bloqueó más de 2 millones de aplicaciones móviles maliciosas, así como a 330.000 cuentas que intentaban subir esta clase de apps a su tienda oficial.

A lo largo de los últimos años, se han infectado miles de smartphones Android con el malware Anatsa, un troyano bancario escondido en aplicaciones móviles maliciosas pero que, a priori, parecen inofensivas. ¿Para qué emplean los delincuentes este malware? Cometer fraudes financieros y sustraer dinero de las cuentas de las víctimas que tienen instaladas aplicaciones móviles bancarias.

Pero las aplicaciones móviles maliciosas no solo se emplean para infectar los smartphones con troyanos bancarios, sino que también son la puerta de entrada de otra clase de programas como spyware que sirven para obtener datos personales, acceder a mensajes o, incluso, escuchar llamadas telefónicas.

En este artículo, vamos a analizar la amenaza que suponen las aplicaciones móviles maliciosas para el día a día de ciudadanos y empresas y a desgranar algunos consejos para prevenir incidentes de seguridad de graves consecuencias.

1. ¿Por qué los ciberdelincuentes emplean aplicaciones móviles maliciosas?

En pleno 2024, todos somos conscientes de que los smartphones son dispositivos críticos en nuestro día a día. A través de ellos accedemos a nuestras cuentas bancarias; consultamos nuestro email personal y corporativo; llevamos a cabo actividades profesionales; nos comunicamos con familiares, amigos, clientes y compañeros de trabajo; y realizamos múltiples acciones.

Al tratarse de dispositivos tan importantes, los smartphones y las aplicaciones instaladas en ellos se han convertido en targets prioritarios para los delincuentes.

Los principales objetivos de los actores maliciosos que diseñan aplicaciones móviles maliciosas infectadas con malware son:

  • Obtener credenciales de acceso a cuentas bancarias online o acceder a las apps de las entidades financieras sin que las víctimas se den cuenta para sustraerles dinero. Para ello, se han empleado en los últimos meses troyanos bancarios como Vultur, Brokewell o Medusa.
  • Espiar a ciudadanos, directivos y empresas para vender, exfiltrar o emplear en futuros ataques información confidencial, datos privados y secretos empresariales. Los actores maliciosos han usado spyware como VajraSpy o SpyLoan para estos fines.
  • Hacerse con el control del móvil y secuestrar datos personales o corporativos mediante la instalación de ransomware como Rafel RAT. A partir de ahí, se procede a extorsionar a las víctimas para obtener el pago de un rescate a cambio de desencriptar los datos.
  • Borrar la información del dispositivo con el objetivo de eliminar datos de gran valor y dañar a la víctima, sobre todo si se trata de una empresa.
  • Atacar a aplicaciones legítimas sobrescribiendo archivos en sus directorios raíces para ejecutar código de manera no autorizada o robar tokens para acceder a cuentas de usuario y apoderarse de datos sensibles, como sucede en el caso de Dirty Stream.

2. La operativa de los actores maliciosos: visibilizar las apps, obtener permisos, ejecutar malware

¿Cómo cumplen los ciberdelincuentes con sus objetivos? Empleando aplicaciones móviles maliciosas que son droppers. Es decir, sirven para descargar en el dispositivo en el que se instalan malware como spyware o ransomware, en función de qué buscan conseguir los actores maliciosos.

2.1. Instalación de las aplicaciones móviles maliciosas

Las apps fakes tienen que resultar creíbles. Por eso, los actores maliciosos recurren a aplicaciones como limpiadores de espacio en la memoria, lectores de PDF o códigos QR, aplicaciones antivirus, o apps de mensajería instantánea. A estas aplicaciones móviles maliciosas debemos sumar apps que simulan ser herramientas conocidas por toda la ciudadanía como Instagram o WhatsApp. Así como aplicaciones ligadas al contexto social del momento, por ejemplo, aplicaciones de streaming durante la celebración de eventos deportivos como la Eurocopa o los Juegos Olímpicos.

Más allá de diseñar las teóricas características y funcionalidades de las aplicaciones móviles maliciosas, los actores hostiles deben conseguir que dichas apps sean instaladas por las víctimas en sus móviles. ¿Cómo lo logran?

  1. Situando a las aplicaciones móviles maliciosas en las primeras posiciones de búsquedas en las tiendas oficiales de Android o iOS. Para ello, se pueden llegar a crear reseñas falsas sobre la utilidad de la app.
  2. Usando técnicas de ingeniería social como el phishing, el smishing, el quishing o el envenenamiento SEO para redirigir a las víctimas al perfil de la aplicación en la correspondiente tienda.
  3. Facilitando las aplicaciones móviles maliciosas a través de canales alternativos a las tiendas oficiales, lo que permite evadir el control de Android e iOS que, continuamente, rastrean sus tiendas en busca de apps falsas o peligrosas.

2.2. Obtención de permisos

Las aplicaciones móviles maliciosas cumplen una doble función: contienen como carga útil un malware, pero, además, sirven para obtener los permisos necesarios para el éxito del ataque. ¿De qué permisos hablamos? Permisos de accesibilidad, lectura de mensajes SMS, geolocalización, cámara, micrófono, notificaciones…

Cuando instalamos una aplicación, esta nos solicita que le concedamos una serie de permisos para poder funcionar, es habitual que los usuarios no analicen con precisión los permisos solicitados y acepten la concesión de todos ellos, sin pararse a reflexionar si resultan lógicos o si son excesivos.

Gracias a estos permisos, los delincuentes pueden realizar acciones maliciosas clave para eludir los mecanismos de seguridad de los dispositivos y las aplicaciones legítimas, enmascarar su presencia, pasar desapercibidos y cumplir con sus objetivos.

De hecho, se ha podido detectar que, en muchas campañas de este tipo, el código maligno no se incorpora a las aplicaciones móviles maliciosas hasta que pasen varios días desde que se instala en el dispositivo móvil, como sucede en el caso de Anatsa.

2.3. Ejecución del malware

Como pudimos observar al desgranar los objetivos de los actores maliciosos que emplean aplicaciones móviles maliciosas, los delincuentes emplean una amplia gama de tipos de malware en función de lo que buscan conseguir de los smartphones de sus víctimas:

  • Troyanos bancarios.
  • Spyware.
  • Ransomware.
  • Adware.
  • Wiper.

Al igual que sucede en muchos otros ámbitos de la ciberseguridad, los malware que se diseñan para infectar los móviles son cada vez más sofisticados, necesitan menos permisos para tener éxito y resultan más difíciles de detectar.

Los delincuentes buscan infectar los móviles con malware para espiar o cometer fraudes

3. Una amenaza para los ciudadanos, pero también para las empresas

Los smartphones son importantes en nuestra vida privada, pero también juegan un papel crítico en el día a día de millones de profesionales y empresas. De hecho, es muy habitual que directivos y trabajadores tengan instaladas en sus móviles personales aplicaciones de uso corporativo y que reciban llamadas o recurran a aplicaciones de mensajería instantánea para enviar mensajes con fines laborales.

Por eso, las empresas deben ser conscientes de los riesgos asociados a las aplicaciones móviles maliciosas. Sobre todo, si tenemos en cuenta que algunas campañas se dirigen específicamente contra compañías y profesionales concretos empleando técnicas de ingeniería social para lograr que se descarguen apps falsas.

Las consecuencias de que un spyware o un ransomware infecten un móvil corporativo o un smartphone personal en el que se tiene acceso a aplicaciones empresariales pueden resultar devastadoras: fraudes financieros, sustracción de información empresarial, robo de propiedad intelectual, secuestro o borrado de datos…

4. Consejos para evitar ser atacados por aplicaciones móviles maliciosas

Para hacer frente a los riesgos que suponen las aplicaciones móviles maliciosas para los ciudadanos y las empresas, es recomendable seguir una serie de consejos básicos que limitan la posibilidad de instalar apps peligrosas o de concederles los permisos que necesitan los delincuentes para completar su misión:

  • Actualizar el sistema operativo del móvil de manera continua. En muchos casos, los ciberdelincuentes aprovechan que los sistemas operativos de los móviles están desactualizados para superar mecanismos de seguridad menos avanzados y sólidos que los de la última versión de los sistemas operativos.
  • Descargar aplicaciones solo de las tiendas oficiales para móviles Android (Play Store) y para iPhone (App Store). Tanto Google como Apple hacen un esfuerzo constante por detectar aplicaciones móviles maliciosas presentes en sus tiendas y eliminarlas, así como para garantizar la seguridad de las mismas a través de herramientas como Google Play Protect. En cambio, si se descargan aplicaciones desde otras fuentes, como páginas de terceros, aumenta de manera exponencial la posibilidad de introducir en nuestros smartphones aplicaciones móviles maliciosas disfrazadas de soluciones veraces y útiles.
  • Desconfiar de las apps desconocidas y asegurarse de su fiabilidad antes de instalarlas. Siempre es recomendable descargar solo apps conocidas o desarrolladas por empresas de confianza.
  • Revisar y limitar los permisos de las aplicaciones. Ninguna aplicación debe tener más permisos de los imprescindibles para funcionar correctamente.
  • Comprobar el consumo de datos y batería de las aplicaciones en segundo plano. Esta información puede ayudarnos a detectar actividades que se desarrollan en nuestro móvil sin que nos demos cuenta.

4.1. Consejos específicos para empresas

  • Instalar antivirus en los dispositivos móviles corporativos para analizar las aplicaciones que se ejecutan en ellos, detectar amenazas y responder a ellas de manera inmediata y eficaz.
  • Elaborar políticas de seguridad corporativas sobre la descarga de aplicaciones en los móviles corporativos.
  • Formar y concienciar a todos los profesionales de la compañía. Las plantillas de las organizaciones y, en especial, sus directivos deben ser conscientes de lo peligrosas que pueden llegar a ser las aplicaciones móviles maliciosas. Para ello se pueden llevar a cabo test de ingeniería social centrados específicamente en aplicaciones móviles maliciosas.
  • Contratar servicios de ciberseguridad avanzados para fortalecer la posición de seguridad de la empresa y proteger activos críticos como son los móviles corporativos. Por ejemplo, someterse a un ejercicio de Red Team en el que el escenario esté centrado en la ejecución de malware en dispositivos móviles.

Google MASA es una iniciativa que busca evitar que haya aplicaciones móviles maliciosas en la Play Store

5. Google MASA: Una iniciativa para proteger el ecosistema de apps móviles

Para combatir la presencia de aplicaciones móviles maliciosas en la Play Store, Google no solo ha desarrollado Google Play Protect, sino que ha puesto en marcha Google MASA, una iniciativa que busca evaluar la seguridad de las aplicaciones y ofrecer garantías a los usuarios.

Para ello, Google MASA contempla un sistema de evaluación de las aplicaciones basado en MASVS, el estándar de verificación de seguridad de apps móviles de la fundación OWASP.

Así, los desarrolladores de aplicaciones móviles pueden someterlas voluntariamente a una evaluación realizada por expertos en auditorías de seguridad de aplicaciones móviles.

Si una aplicación supera la evaluación y se solventan las vulnerabilidades o debilidades detectadas, Google expedirá el certificado MASA. De tal forma que en la Play Store la aplicación tendrá una insignia para que todos los usuarios sepan que ha sido evaluada de acuerdo al estándar de referencia a nivel global.

5.1. ¿Cuáles son los beneficios de Google MASA?

  • A los ciudadanos, profesionales y empresas que descargan aplicaciones móviles les permite asegurarse de antemano de que van a instalar apps seguras y no aplicaciones móviles maliciosas.
  • A las empresas que desarrollan aplicaciones móviles legítimas, Google MASA les ayuda a reforzar sus políticas de seguridad desde el diseño y a lo largo de todo el ciclo de vida de las apps. Además, se pueden beneficiar de la confianza de los usuarios, que prefieren descargarse aplicaciones certificadas frente a otras que no lo están.
  • Para Google es una manera de fortalecer la seguridad del ecosistema de apps Android y combatir la proliferación de aplicaciones móviles maliciosas o inseguras que desencadenen incidentes de seguridad y minen la reputación de la compañía.

En definitiva, es necesario actuar con cautela a la hora de descargar aplicaciones móviles y otorgarles permisos para realizar acciones en los dispositivos. De lo contrario, ciudadanos y empresas pueden sufrir fraudes financieros y robo de información crítica.