Doctor Web: informe de actividad de virus para dispositivos móviles en diciembre de 2023

Según los datos estadísticos de detecciones Dr.Web para dispositivos móviles Android, en diciembre del año 2023 el malware más activo otra vez se refiere a algunos programas de publicidad troyanos Android.HiddenAds. Pero los usuarios afrontaron los mismos con menor frecuencia, un 53,89% menos comparado con el mes anterior. Además, bajó el número de ataques de adware bancario y aplicaciones espía ― un 0,88% y un 10,83% respectivamente.

Durante el último mes del año pasado los analistas de virus de la empresa Doctor Web detectaron en el catálogo Google Play otro malware falso de la familia Android.FakeApp, aplicado en varios esquemas fraudulentos. Así mismo, nuestros expertos detectaron otros sitios web a través de los cuales los malintencionados difundían las aplicaciones falsas de criptomonederos.

Según los datos de productos antivirus Dr.Web para Android

Android.Spy.5106

Detección de un programa troyano que consiste en versiones modificadas de modificaciones no oficiales de la aplicación WhatsApp. Puede robar el contenido de notificaciones, proponer la instalación de programas de orígenes desconocidos, y durante el uso del messenger — visualizar las ventanas de diálogo con contenido configurado a distancia.

Android.HiddenAds.3831

Android.HiddenAds.3851

Los programas troyanos para visualizar publicidad importuna. Los representantes de esta familia con frecuencia se difunden camuflados por aplicaciones legales y en algunos casos se instalan en el catálogo de sistema por otro malware. Al penetrar en dispositivos con Android, este adware troyano suele ocultar al usuario su propia presencia en el sistema — por ejemplo, «oculta» el icono de la aplicación del menú de la pantalla principal.

Android.MobiDash.7805

Un programa troyano que visualiza publicidad importuna. Es un complemento incrustado en aplicaciones por los desarrolladores de software.

Android.Click.1751

Un troyano incrustado en modificaciones del messenger WhatsApp que se camufla por clases de bibliotecas de Google. Durante el uso de la aplicación portadora Android.Click.1751 realiza solicitudes a un servidor de control. En respuesta, el troyano recibe dos enlaces, uno de los cuales sirve para los usuarios de habla rusa, y el otro para todos los demás. Posteriormente, visualiza una ventana de diálogo con el contenido recibido del servidor y, al pulsar el usuario el botón de confirmación, carga en enlace correspondiente en el navegador.

Program.CloudInject.1

Detección de aplicaciones para Android modificadas con el servicio en la nube CloudInject y la utilidad en Android del mismo nombre (añadida a la base de virus Dr.Web como Tool.CloudInject). Estos programas se modifican en el servidor remoto, así mismo, el usuario interesado en su modificación (modder) no controla qué exactamente se incrustará en los mismos. Además, las aplicaciones reciben un conjunto de permisos peligrosos. Una vez modificados los programas, el modder puede administrarlos de forma remota — bloquearlos, visualizar los diálogos personalizados, supervisar el hecho de instalación y eliminación de otro software etc.

Program.FakeAntiVirus.1

Detección de adware que imita el funcionamiento de software antivirus. Estos programas pueden informar sobre las amenazas no existentes y engañar a usuarios al demandar la compra de la versión completa.

Program.wSpy.3.origin

Un programa comercial espía para la supervisión oculta a titulares de dispositivos en Android. Permite a los malintencionados leer la mensajería (mensajes en messengers populares y SMS), escuchar el entorno, supervisar la ubicación del dispositivo, supervisar el historial del navegador web, acceder a la libreta telefónica y contactos, fotos y vídeos, hacer screenshots de la pantalla y fotos a través de la cámara del dispositivo, y también tiene función de keylogger.

Program.FakeMoney.7

Detección de aplicaciones que supuestamente permiten ganar dinero al realizar alguna acción o tarea. Estos programas imitan el abono de premios, así mismo, para poder usar el dinero “ganado”, hay que acumular un importe determinado. Hasta si los usuarios lo consiguen, no pueden recibir los pagos.

Program.SecretVideoRecorder.1.origin

Detección de varias versiones de la aplicación para la grabación de fotos y videos a través de las cámaras incrustadas de dispositivos en Android. Este programa puede funcionar de forma no autorizada, al permitir desactivar las notificaciones de grabación, así como modificar el icono y la descripción de la aplicación por los falsos. Esta funcionalidad lo convierte en potencialmente peligroso.

Tool.NPMod.1

Detección de aplicaciones en Android modificadas con la utilidad NP Manager. Estos programas tienen incrustado un módulo especial que permite esquivar la verificación de la firma digital una vez modificados.

Tool.LuckyPatcher.1.origin

Una utilidad que permite modificar las aplicaciones en Android instaladas (crear parches para las mismas) para modificar su lógica de funcionamiento o esquivar alguna restricción. Por ejemplo, con la misma los usuarios pueden intentar desactivar la comprobación del acceso root en programas bancarios o recibir los recursos ilimitados en los juegos. Para crear los parches, la utilidad descarga de Internet los scripts preparados a propósito que pueden ser creados y añadidos a la base común por cualquier persona interesada. La funcionalidad de estos scripts también puede ser maliciosa, por lo tanto, los parches creados pueden ser de amenaza potencial.

Tool.SilentInstaller.14.origin

Tool.SilentInstaller.7.origin

Plataformas potencialmente peligrosas que permiten a las aplicaciones iniciar los archivos APK sin instalar los mismos. Estas plataformas crean un entorno virtual de ejecución en contexto de aplicaciones donde están incrustadas. Los archivos APK iniciados con los mismos pueden funcionar como si formaran parte de estos programas, y recibir los mismos permisos de forma automática.

Tool.ApkProtector.16.origin

Detección de aplicaciones en Android protegidas por el comprimidor ApkProtector. Este comprimidor no es malicioso, pero los malintencionados pueden usarlo para crear los programas troyanos y no deseados para que los antivirus detecten los mismos con mayor dificultad.

Adware.ShareInstall.1.origin

Un módulo de publicidad que puede ser integrado en programas en Android. Visualiza las notificaciones de publicidad en la pantalla de bloqueo de SO Android.

Adware.Adpush.21846

Adware.AdPush.39.origin

Los módulos de publicidad que pueden ser integrados en programas en Android. Visualizan las notificaciones de publicidad que engañan a usuarios, Por ejemplo, estas notificaciones pueden ser similares a mensajes del sistema operativo. Además, estos módulos recopilan algunos datos privados, y también pueden descargar otras aplicaciones e iniciar su instalación.

Adware.Airpush.7.origin

Un representante de la familia de módulos de publicidad incrustados en aplicaciones en Android que visualizan publicidad de varios tipos. En función de versión y modificación, pueden ser notificaciones publicitarias, ventanas emergentes o banners. Con estos módulos, los malintencionados con frecuencia difunden malware al ofrecer instalar algún software. Además, estos módulos transfieren al servidor remoto varios tipos de información privada.

Adware.Fictus.1.origin

Un módulo de publicidad incrustado por los malintencionados en las versiones clones de juegos populares y programas en Android. Se integra en los programas mediante un comprimidor especializado net2share. Las copias de software creadas de esta forma se difunden a través de varios catálogos de aplicaciones y, una vez instaladas, visualizan publicidad importuna.

Amenazas en Google Play

En diciembre del año 2023 los expertos de la empresa Doctor Web detectaron en el catálogo Google Play nuevos programas troyanos de la familia Android.FakeApp. Por ejemplo, los malintencionados difundieron Android.FakeApp.1564 camuflado por una aplicación que permite contabilizar las deudas. El troyanoAndroid.FakeApp.1563 se ocultaba en un programa de encuestas. Y Android.FakeApp.1569 fue presentado por los malintencionados por una herramienta que permite aumentar la productividad y tener hábitos útiles.

Todos estos programas falsos abrían los sitios web dedicados a finanzas que copiaban el diseño de los sitios web reales de bancos, agencias de noticias y otras entidades conocidas. Además, para su diseño se usaban los títulos y logos correspondientes. En estos recursos de Internet fraudulentos a los usuarios se les ofrecía ser inversores, realizar programas de alfabetización financiera, recibir prestaciones financieras etc. Así mismo, había que indicar los datos personales ― supuestamente para registrar la cuenta y acceder a los servicios correspondientes.

Ejemplos de sitios web falsos cargados por troyanos:

Así mismo, las aplicaciones malware Android.FakeApp.1566, Android.FakeApp.1567 y Android.FakeApp.1568 se difundían camufladas por juegos:

En vez de iniciar juegos, los mismos podían abrir los sitios web de apuestas y casinos online, como se puede observar en un ejemplo más abajo.

Funcionamiento de un programa troyano de este tipo en modo de juego:

Un sitio web cargado por el mismo:

Para proteger los dispositivos en Android contra malware y software no deseado, recomendamos a los usuarios instalar los productos antivirus Dr.Web para Android.

Indicadores de compromiso

Su Android necesita protección.

Use Dr.Web

• Primer antivirus ruso para Android
• Más de 140 millones de descargas solo desde Google Play
• Gratis para usuarios de productos de hogar Dr.Web

Descargar gratis