Los investigadores de ciberseguridad están llamando la atención sobre un nuevo cambio en el panorama de malware de Android, donde las aplicaciones de dosificador, que generalmente se usan para entregar troyanos bancarios, para distribuir malware más simple como robadores de SMS y spyware principal.
Estas campañas se propagan a través de aplicaciones de dosificador disfrazadas de aplicaciones gubernamentales o bancarias en India y otras partes de Asia, dijo Amenazfabric en un referencia la semana pasada.
La firma de seguridad móvil holandesa dijo que el cambio está impulsado por las recientes protecciones de seguridad que Google ha puesto a prueba en mercados seleccionados como Singapur, Tailandia, Brasil e India para cercar la respuesta colateral de aplicaciones potencialmente sospechosas que solicitan permisos peligrosos como mensajes SMS y servicios de accesibilidad, un entorno fuertemente abusado para transigir a mango acciones maliciosas en dispositivos de androides.
“Las defensas de Google Play Protect, particularmente el software piloto objetivo, son cada vez más efectivos para detener aplicaciones arriesgadas ayer de que se ejecuten”, dijo la compañía. “En segundo ocupación, los actores quieren impulsar en el futuro sus operaciones”.
“Al encapsular incluso las cargas bártulos básicas interiormente de un dosificador, obtienen un caparazón protector que puede esquivar los cheques de hoy mientras se mantienen lo suficientemente flexibles como para cambiar cargas bártulos y campañas de pivote mañana”.
Amensefabric dijo que si acertadamente la organización de Google aumenta la envite al cercar una aplicación maliciosa de ser instalada incluso ayer de que un afortunado pueda interactuar con ella, los atacantes están probando nuevas formas de evitar las salvaguardas, una indicación del bisagra interminable de Whack-a-Mole cuando se proxenetismo de seguridad.
Esto incluye el diseño de goteros, teniendo en cuenta el software piloto de Google, para que no busquen permisos de suspensión peligro y solo sirvan una pantalla inofensiva de “modernización” que puede volatilizarse más allá del escaneo en las regiones.
Pero es solo cuando el afortunado hace clic en el timbre “Poner al día” que la carga útil positivo se obtiene de un servidor extranjero o desempaquetado, que luego procede a averiguar los permisos necesarios para cumplir con sus objetivos.
“Play Protect puede mostrar alertas sobre los riesgos, como parte de un escaneo diferente, pero mientras el afortunado las acepte, la aplicación está instalada y la carga útil se entrega”, dijo Amenazfabric. “Esto ilustra una brecha crítica: Play Protect todavía permite aplicaciones de peligro a través de si el afortunado hace clic en la instalación de todos modos, y el malware aún se desliza a través del software piloto”.
Uno de esos cuenteros es recompensas que se ha antagónico que sirve cercano con las cargas de spyware un minero de criptomonedas Monero que puede activarse de forma remota. Sin secuestro, las variantes recientes de la aparejo ya no incluyen la funcionalidad del minero.
Algunas de las aplicaciones maliciosas entregadas a través de recompensasDropMiner, todos los usuarios de orientación en la India, se enumeran a continuación –
- PM Yojana 2025 (com.fluvdp.hrzmkgi)
- ° rto challan (com.epr.fnroyex)
- SBI Online (com.qmwownic.eqmff)
- Plástico de eje (com.tolqppj.yqmrlytfzrxa)
Otras variantes de dosificador que evitan activar el bisagra Protect o el software piloto incluyen Securidropper, Zombinder, BrokeWelldropper, Hiddencatdropper y Tiramisudropper.
Cuando se le contactó para hacer comentarios, Google le dijo a Hacker News que no ha antagónico ninguna aplicación que use estas técnicas distribuidas a través de Play Store y que constantemente agrega nuevas protecciones.
“Independientemente de de dónde proviene una aplicación, incluso si está instalada por una aplicación ‘Dropper’, Google Play Protect ayuda a nutrir a los usuarios seguros al verificarlo automáticamente las amenazas”, dijo un portavoz.
“La protección contra estas versiones de malware identificadas ya estaba en su ocupación a través de Google Play Protect ayer de este referencia. Según nuestra detección contemporáneo, no se han antagónico aplicaciones que contengan estas versiones de este malware en Google Play. Estamos mejorando constantemente nuestras protecciones para ayudar a los usuarios a aparte de malos actores”.
El expansión se produce cuando Bitdefender Labs advirtió sobre una nueva campaña que usa anuncios maliciosos en Facebook para entregar una traducción premium gratuita de la aplicación TradingView para Android para que finalmente desplegue una traducción mejorada del troyano de banca Brokwell para monitorear, controlar y robar información confidencial del dispositivo de la víctima.
No menos de 75 anuncios maliciosos se han publicado desde el 22 de julio de 2025, llegando a decenas de miles de usuarios solo en la Unión Europea. La ola de Attack Android es solo una parte de una operación de malvertimiento más ilustre que ha abusado de los anuncios de Facebook para dirigir incluso a los escritorios de Windows bajo la apariencia de varias aplicaciones financieras y de criptomonedas.
“Esta campaña muestra cómo los ciberdelincuentes están ajustando sus tácticas para mantenerse al día con el comportamiento del afortunado”, dijo la compañía rumana de ciberseguridad. “Al atacar a los usuarios móviles y disfrazar el malware como herramientas comerciales de confianza, los atacantes esperan beneficiarse la creciente dependencia de aplicaciones criptográficas y plataformas financieras”.
