Apps infectadas con malware puede tomar el control del celular

ESTADOS UNIDOS.- Android/Xamalicious es un malware que puede tomar el control total del celular y realizar acciones fraudulentas. Este programa malicioso se esconde en al menos 13 apps que se descargaron más de 300 mil veces en varios países, incluyendo a México.

El malware Xamalicious se esconde en la tienda de apps Google Play y los usuarios descargan aplicaciones maliciosas sin darse cuenta, según McAfee, compañía de seguridad informática.

Los investigadores encontraron 25 apps en la tienda de Android con este malware. Sin embargo, se dieron a conocer el nombre de las 13 aplicaciones que más fueron instaladas en el mundo.

Essential Horoscope for Android – 100 mil instalaciones
3D Skin Editor for PE Minecraft – 100 mil instalaciones
Logo Maker Pro – 100 mil instalaciones
Auto Click Repeater – 10 mil instalaciones
Count Easy Calorie Calculator – 10 mil instalaciones
Sound Volume Extender – 5 mil instalaciones
LetterLink – Mil instalaciones
NUMEROLOGY: PERSONAL HOROSCOPE &NUMBER PREDICTIONS – Mil instalaciones
Step Keeper: Easy Pedometer – 500 instalaciones
Track Your Sleep – 500 instalaciones
Sound Volume Booster – 100 instalaciones
Astrological Navigator: Daily Horoscope & Tarot – 100 instalaciones
Universal Calculator – 100 instalaciones

Google Play borró las apps previamente mencionadas. Sin embargo, esto no significa que haya sido eliminadas de los dispositivos en los que fueron descargadas previamente.

Por esta razón, se recomienda que, aquellos usuarios que las tengan instaladas en su dispositivo Android, las borren inmediatamente para evitar caer en los efectos de Xamalicious.

Xamalicious también estaba presente LetterLink, una app que estaba disponible en Google Play a finales de 2020, con un icono de libro.

Se trata de una versión oculta de Cash Magnet, la cual realiza fraude publicitario con actividad automatizada de clics, descargas de aplicaciones y otras tareas que conducen a la monetización para el marketing de afiliación.

Publicado originalmente en 2019 en Google Play, Cash Magnet se describió como una aplicación de ingresos pasivos que ofrece a los usuarios ganar hasta 30 dólares por mes publicando anuncios automatizados.

LetterLink instala adware en los celulares infectados sin que lo sepa el usuario. A raíz de esta app, los dispositivos infectados redujeron su rendimiento y capacidad.

En total, estas apps acumularon 327 mil instalaciones en casi 50 países, incluyendo a 15 naciones de Latinoamérica, entre ellos México, según la telemetría de McAfee.

Los usuarios más afectados se encuentran en el continente americano con mayor actividad en Estados Unidos, Brasil y Argentina. En Europa, afectaron principalmente al Reino Unido, España y Alemania.

Las 327 mil instalaciones de apps con malware detectadas por McAfee no contemplan las instalaciones provenientes de mercados de terceros que continuamente producen nuevas infecciones. “Esta amenaza sigue muy activa”, dice la empresa.

Xamalicious es difícil de detectar. Su origen radica en el marco de trabajo Xamarin y se esconde dentro de archivos como GoogleService.dll y Core.dll.

Una vez se instalan las apps con el malware escondido dentro, a los usuarios les aparece una solicitud de permisos de accesibilidad en el terminal.

Por la naturaleza de las apps en las que se esconde, lo más natural es aceptar la petición y otorgarle a la aplicación los permisos que está pidiendo.

Al aceptar la solicitud de permisos, la app puede actuar sin que nadie lo sepa. Posteriormente, accede a un archivo adicional que abre las puertas para que se puedan ejecutar distintos comandos a distancia de forma totalmente oculta.

A partir de ese momento, los atacantes pueden usar siete comandos con los que los hackers pueden acceder a todo tipo de información y tomar el control del celular. Estos son cada uno de ellos:

GetURL es una solicitud para la carga útil de la segunda etapa de ataque. Este utiliza los potentes servicios de accesibilidad otorgados durante la primera etapa para tomar el control total del dispositivo infectado.

Los expertos de McAfee recomiendan evitar el uso de aplicaciones que requieran servicios de accesibilidad a menos que exista una necesidad genuina de su uso.