¡Vd. usa un navegador obsoleto!
Es posible que la página no se visualice correctamente.
6 de abril de 2023
Con menor frecuencia, en los dispositivos protegidos por Dr.Web se detectaban los troyanos bancarios y los programas extorsionistas, un 70,57% y un 14,63% respectivamente. Además, la actividad de troyanos espía bajo un 33,93%, los más difundidos entre los mismos fueron varias variantes del troyano que atacaba a los usuarios de algunas modificaciones no oficiales del Messenger WhatsApp.
Durante el mes de febrero, el laboratorio de virus de la empresa Doctor Web reveló en el catálogo Google Play más de 70 malware. La mayoría eran de la familia de programas de estafa Android.FakeApp. Entre los mismos, también hubo aplicaciones troyanas que suscribían a las víctimas a los servicios de pago.
En febrero del año 2023 los analistas de virus de la empresa Doctor Web detectaron en el catálogo Google Play otro malware que suscribía a los titulares de dispositivos en Android a servicios de pago. Así, por ejemplo, los programas troyanos de la familia Android.Subscription — Android.Subscription.19 y Android.Subscription.20 — se difundían camuflados por una compilación de imágenes WPHD - Wallpapers 4K y una utilidad para recuperar los archivos eliminados Back File.
El malware de este tipo al iniciarse, abren los sitios web de servicios de pago e intentan formalizar suscripción de forma automática o al ofrecer a los usuarios indicar su móvil. Más abajo pueden visualizarse los ejemplos de sitios web que los programas troyanos detectados abrían para formalizar la suscripción de pago:
Y los nuevos representantes de la familia Android.Joker llamados Android.Joker.2038 y Android.Joker.2039, se ocultaban en la aplicación Photo Safe para proteger los archivos contra el acceso no autorizado en el programa Home Security Camera que permitía administrar las cámaras de vigilancia a través de smartphone o usar el dispositivo en modo de videovigilancia. Los malware de este tipo abren los sitios web de servicio objetivo de forma no autorizada, y luego conectan a las víctimas a servicios de pago de forma autónoma.
Además, nuestros expertos detectaron decenas de programas falsificados de la familia Android.FakeApp que se difundían camuflados por varios tipos de software. Muchos de ellos fueron presentados por los malintencionados por múltiples aplicaciones del tema financiero, manuales y materiales de formación, programas para realizar encuestas, comercio y visualizar los datos sobre cotizaciones, herramientas para finanzas de hogar etc. Entre los mismos — Android.FakeApp.1219, Android.FakeApp.1220, Android.FakeApp.1221, Android.FakeApp.1226, Android.FakeApp.1228, Android.FakeApp.1229, Android.FakeApp.1231, Android.FakeApp.1232, Android.FakeApp.1241 y otros.
Si los usuarios los instalaban al seguir un enlace especial (por ejemplo, de un anuncio de publicidad), al iniciar los programas, se abrían los sitios web de estafa. En los mismos, a las víctimas potenciales se les ofrecía participar en una pequeña encuesta y acceder a la “plataforma de inversión”, al registrar la cuenta e indicar los datos personales. En caso de instalación de programas orgánica (es decir, los usuarios encontraban e instalaban estas falsificaciones por su propia iniciativa), algunos de los mismos en vez abrir los sitios web de estafadores visualizaban la funcionalidad esperada.
Unos ejemplos de sitios web de estafa abiertos por los mismos:
Los malintencionados presentaban algunos programas como si fueran aplicaciones vinculadas al deporte o software oficial de casas de apuestas.
Algunos de los mismos (Android.FakeApp.1192, Android.FakeApp.1193, Android.FakeApp.1194, Android.FakeApp.22.origin, Android.FakeApp.1195, Android.FakeApp.1196 y otros) analizaban los dispositivos en los cuales funcionaban. En caso de detector que estos dispositivos son de prueba (por ejemplo, no tenían tarjeta SIM o eran modelos de la línea Nexus), activaban la funcionalidad no maliciosa — iniciaban los juegos, concursos (los así llamados trivial), abrían las tablas de deporte, la información sobre los partidos, etc. En caso contrario, abrían en WebView o en el navegador los sitios web cuyas direcciones recibían de la base de datos Firebase. Otros programas falsificados de este tipo (Android.FakeApp.1197, Android.FakeApp.1198, Android.FakeApp.1199, Android.FakeApp.1200, Android.FakeApp.1201, Android.FakeApp.1202, Android.FakeApp.1204, Android.FakeApp.1209, Android.FakeApp.1212 y otros) se conectaban al servidor remoto que tomaba la decisión sobre el inicio de las funciones ocultas no maliciosas o las acciones de abrir algún sitio web. Y el programa troyano Android.FakeApp.1203 recibía enlaces para abrir los sitios web del servicio en la nube Firebase Remote Config. Más abajo pueden consultarse los ejemplos de funcionamiento de estos programas.
Inicio de juegos y visualización de la tabla de partidos de fútbol:
Las mismas aplicaciones abren los sitios web de corredores de apuestas:
Los programas falsificados difundidos como juegos Android.FakeApp.1222, Android.FakeApp.1224, Android.FakeApp.1225 y Android.FakeApp.1235 en vez de la funcionalidad de juego podían abrir los sitios web de casinos en línea en el navegador Google Chrome.
Un ejemplo de funcionamiento de uno de ellos en modo de juego:
Unos ejemplos de las páginas web abiertas por los mismos:
Entre las falsificaciones detectadas, hubo también otro programa difundido como si fuera una herramienta para buscar trabajo que abría los sitios web de estafa con una lista de ofertas de trabajo falsas. Cuando los usuarios seleccionaban un anuncio, se les ofrecía dejar sus datos de contacto al rellenar un formulario especial o conectarse al “empleador” directamente por Messenger. Esta falsificación es una modificación de una aplicación troyana conocida desde finales del año 2022, y se detecta por Dr.Web como Android.FakeApp.1133.
Para proteger los dispositivos en Android contra malware y programas no deseados recomendamos a los usuarios instalar los productos antivirus Dr.Web para Android.