Los investigadores de ciberseguridad llaman la atención sobre un nuevo cambio en el panorama del malware para Android, en el que las aplicaciones de cuentagotas, que normalmente se utilizan para enviar troyanos bancarios, también distribuyen malware más simple, como ladrones de SMS y software espía básico.
Estas campañas se propagan a través de aplicaciones de cuentagotas que se hacen pasar por aplicaciones gubernamentales o bancarias en la India y otras partes de Asia, ThreatFabric dijo en un informe de la semana pasada.
La firma holandesa de seguridad móvil dijo que el cambio está impulsado por protecciones de seguridad recientes que Google ha puesto a prueba en mercados selectos, como Singapur, Tailandia, Brasil e India, para bloquear la descarga lateral de aplicaciones potencialmente sospechosas que solicitan permisos peligrosos, como los mensajes SMS, y servicios de accesibilidad , una configuración muy utilizada para llevar a cabo acciones malintencionadas en dispositivos Android.
«Las defensas de Google Play Protect, en particular el programa piloto específico, son cada vez más eficaces a la hora de detener las aplicaciones peligrosas antes de que se ejecuten», afirma la empresa. «En segundo lugar, los actores quieren preparar sus operaciones para el futuro».
«Al encapsular incluso las cargas útiles más básicas dentro de un gotero, obtienen una capa protectora que puede eludir los controles de hoy y, al mismo tiempo, mantener la flexibilidad suficiente para intercambiar cargas útiles y cambiar las campañas del futuro».
ThreatFabric afirmó que, si bien la estrategia de Google aumenta la apuesta al impedir que una aplicación malintencionada se instale incluso antes de que el usuario pueda interactuar con ella, los atacantes están probando nuevas formas de eludir las medidas de seguridad, lo que indica que en materia de seguridad hay un juego interminable de golpear a un topo.
Esto incluye diseñar los cuentagotas teniendo en cuenta el programa piloto de Google, de modo que no soliciten permisos de alto riesgo y solo muestren una pantalla de «actualización» inofensiva que pueda pasar volando más allá del escaneo en las regiones.
Pero solo cuando el usuario hace clic en el botón «Actualizar», la carga útil real se recupera de un servidor externo o se descomprime, y luego procede a buscar los permisos necesarios para cumplir sus objetivos.
«Es posible que Play Protect muestre alertas sobre los riesgos como parte de un análisis diferente, pero siempre que el usuario las acepte, la aplicación esté instalada y la carga útil esté entregada», afirma ThreatFabric. «Esto ilustra una brecha crítica: Play Protect sigue permitiendo el acceso a aplicaciones peligrosas si el usuario hace clic en Instalar de todos modos, y el malware sigue pasando desapercibido durante el programa piloto».
Uno de esos cuentagotas es RewardDropMiner, que se ha descubierto que sirve, junto con las cargas de spyware, un minero de criptomonedas de Monero que se puede activar de forma remota. Sin embargo, las variantes recientes de la herramienta ya no incluyen la función de minero.
Algunas de las aplicaciones maliciosas entregadas a través de RewardDropMiner, todas ellas dirigidas a usuarios de la India, se enumeran a continuación:
- PM YOJANA 2025 (com.fluvdp.hrzmkgi)
- °RTO Challan (com.epr.fnroyex)
- SBI en línea (com.qmwownic.eqmff)
- Tarjeta Axis (com.tolqppj.yqmrlytfzrxa)
Otras variantes de cuentagotas que evitan activar Play Protect o el Programa piloto son SecuriDropper, Zombinder, BrokeWellDropper, HiddencatDropper y TiramisuDropper.
Cuando se le contactó para hacer comentarios, Google dijo a The Hacker News que no había encontrado ninguna aplicación que utilizara estas técnicas distribuidas a través de Play Store y que constantemente agregaba nuevas protecciones.
«Independientemente de la procedencia de una aplicación, incluso si la instala una aplicación que usa el sistema «cuentagotas», Google Play Protect ayuda a proteger a los usuarios al comprobar automáticamente si hay amenazas», dijo un portavoz.
«La protección contra estas versiones de malware identificadas ya existía a través de Google Play Protect antes de este informe. Según nuestra detección actual, no se ha encontrado ninguna aplicación en Google Play que contenga estas versiones de este malware. Mejoramos constantemente nuestras protecciones para ayudar a mantener a los usuarios a salvo de los malos actores».
La novedad se produce cuando Bitdefender Labs ha advertido sobre una nueva campaña en la que se utilizan anuncios maliciosos en Facebook para vender una versión premium gratuita de la aplicación TradingView para Android y, en última instancia, implementar una versión mejorada de Brokewell troyano bancario para monitorear, controlar y robar información confidencial del dispositivo de la víctima.
Se han publicado no menos de 75 anuncios maliciosos desde el 22 de julio de 2025, que han llegado a decenas de miles de usuarios solo en la Unión Europea. La oleada de ataques a Android es solo una parte de una operación de publicidad maliciosa de mayor envergadura que ha utilizado Facebook Ads para atacar también ordenadores de escritorio de Windows con el pretexto de utilizar diversas aplicaciones financieras y de criptomonedas.
«Esta campaña muestra cómo los ciberdelincuentes están ajustando sus tácticas para mantenerse al día con el comportamiento de los usuarios», dijo la empresa rumana de ciberseguridad dijo . «Al atacar a los usuarios de dispositivos móviles y disfrazar el malware como herramientas comerciales confiables, los atacantes esperan sacar provecho de la creciente dependencia de las criptoaplicaciones y plataformas financieras».