Quizás alguno creyera que, a diferencia de lo visto en ordenadores, los smartphones nos traerían plena seguridad de cara a los virus. Pero nada más lejos de la realidad. Véase como prueba los datos de Statcounter en octubre de 2022 mostrando que casi un 60% del malware que se detecta está en Android y iOS (Android 42,34% y iOS 17,57%). No es que sean sistemas inseguro, pero los ciberdelincuentes los tienen en su punto de mira.
Que Android sea el segundo sistema operativo más utilizado lo hace muy apetecible para aquellos que desean obtener datos o dinero de los usuarios de forma fraudulenta. Y aunque en menor escala, iOS también. De ahí que lleguemos a repasar los malware más peliogrosos que se han detectado en los últimos tiempos, para así además proteger nuestros móviles de las amenazas.
Joker es algo más que el antagonista de Batman en Android
El conocido antagonista de DC Comics sirve para dar nombre a uno de los malware de Android más peligrosos y cansinos que se han detectado en los últimos tiempos. Y lo de cansinos lo decimos por su insistencia en seguir apareciendo, dado que desde su primera aparición en 2017, no ha dejado de aparecer. Pero veamos qué y cómo es el malware Joker.
Joker es un malware que se aloja dentro de aplicaciones de Google Play, por lo que su detección por parte del usuario podría ser nula, ya que aprovecha la falsa sensación de seguridad que aporta descargar aplicaciones desde el repositorio de apps de confianza de cualquier Android. De hecho, no es sencillo ni siquiera para Google detectarlo y así evitar exponer apps que lo contengan.
Su objetivo está en suscribirnos a servicios prémium sin nuestro consentimiento, haciendo así que se creen numerosos cargos en nuestro método de pago del móvil que, para sorpresa de nadie, no suponen siquiera estar dados de alta a un servicio real que pudiese ser medianamente de interés. Para ello, ha ido evolucionando y usando diferentes métodos.
Inicialmente, Joker usaba las conocidas como estafas de los SMS Prémium, enviando sin consentimiento del usuario mensajes fuera de la tarifa que aumentaban el groso de la factura mensual del usuario. Sin embargo, los métodos de protección que fue incluyendo Google obligaron a Joker a evolucionar.
Así, avanzaron a las conocidas como estafas WAP. La facturación WAP es básicamente un servicio que ofrecen las compañías telefónicas y mediante el cual se permite la suscripción a servicios de pago sin tener que tener una tarjeta bancaria configurada en el teléfono. Estas suscripciones se pueden activar entrando en un simple enlace. El sobrecoste, aquí también, aparece luego reflejado a fin de mes en la factura que remite el operador.
No se atribuye este malware a ningún grupo concreto de ciberdelincuentes, siendo al final un malware al que han recurrido grupos de distinto origen. Y para ello, tal y como llegó a describir la propia Google, utilizaban técnicas innovadoras con las que ocultarlo y así saltarse todos los filtros de seguridad de Google Play, llegando a ejecutar estas acciones de suscripción también de forma oculta para el usuario.
Volviendo a lo del "malware cansino", Joker ha sido reportado en numerosas ocasiones. Por poner solo algunos ejemplos, en 2020 se detectó en 16 aplicaciones que afortunadamente acabaron desapareciendo rápido de Google Play. Y a finales de 2021 volvió a escena en 10 nuevas apps.
Lo más peligroso de todo es que se camufla siempre en aplicaciones que parecen fiables. Algunas más bonitas que otras, eso sí, pero siempre dando una cierta apariencia de ser apps normales y corrientes. En algunos casos incluso alcanzan los millones de descargas, disfrazándose como apps de todo tipo; para editar fotos, para ejecutar limpieza de archivos basura, como gestores de correo y un largo etcétera. Y en la mayoría de casos cumplen ese cometido, pero a costa de implementar un malware silencioso.
Por desgracia, no hay un método general o sencillo con el que detectarlo por parte del usuario. Sí nos encontramos consejos comunes a otras situaciones, como el observar siempre el número de descargas y reseñas de aplicaciones de Google Play y, en este caso concreto, observar con atención los servicios a los que estamos suscritos y sospechar ante cualquier cargo desconocido en la factura telefónica.
Si no acostumbras a suscribirte a servicios prémium, lo mejor es que contactes con tu operadora para dar de baja esta opción y que no solo se eliminen posibles suscripciones activas, sino que también se te impida darte de alta en el futuro. En cualquier momento podrás volver a llamar y revocar esta decisión, pero de esta forma evitarás que de forma silenciosa el malware Joker y sus variantes puedan actuar en tu nombre.
Pegasus, el espía más silencioso de iOS y que también llega a Android
Probablemente te suene el spyware Pegasus, dado que en 2022 estuvo en boca de muchos tras detectarse en el móvil de importantes políticos españoles, así como de otras personalidades de alto calado en nuestro país. Como el nombre de este malware indica, spyware, sirvió y sirve para espiar todo el contenido de un smartphone.
Y cierto es que son los iPhone los que más han acusado este spyware, pero también en móviles Android tiene cabida. Lleva existiendo ya varios años y, según aseguran la NSPO Group solo se ofrece mediante contratación de un gobierno. Además, su coste apunta a ser bastante elevado. Y su peligrosidad es tal que basta con tener un número de teléfono para poder ser víctima.
No se sabe aún a ciencia cierta todas las puertas de entrada que aprovecha Pegasus para entrar en un dispositivo. Se cree que son varios los sistemas que puede utilizar, aprovechando vulnerabilidades de apps como WhatsApp o enviando SMS y correos electrónicos de phishing.
Lo importante aquí es que, una vez entra en el sistema, es casi imposible detectarlo y obtiene pleno control del terminal. Pegasus es capaz de acceder a todo el contenido de apps de mensajería, así como al registro y grabación de llamadas e incluso archivos que se tengan almacenados en el dispositivo.
La buena noticia es que seguramente nunca seamos víctimas de Pegasus. Salvo que quién esté leyendo este post sea una persona de alta importancia en la sociedad, dado que son las víctimas a las que se dirigen este tipo de spyware.
Otros "sin nombre" que aparecen en Google Play
Como decíamos ya anteriormente, Google Play es una tienda de aplicaciones de confianza. Sin embargo, no está exenta de problemas. Y si antes citábamos dos noticias sobre apariciones de Joker de las muchas que hay, la lista de ejemplos recientes de otras apps maliciosas podría ser prácticamente infinita.
Por irnos a los casos más recientes, citamos Sharkbot y Vultur, siendo el primero de ellos un troyano bancario y el segundo un ladrón de cuentas de redes sociales. Ambos fueron detectados en aplicaciones presuntamente confiables y, de hecho, lo eran y podían seguir siéndolo.
Sin embargo, estos malware aprovechaban una puerta trasera que muchos otros utilizan: solicitar la descarga de una falsa actualización de la app. Si el usuario aceptaba esta actualización, se le redirigía incluso a una web que aparentemente parecía ser Google Play, todo ello con la idea de hacerle creer a la víctima que todo era confiable. Sin embargo, no era Google Play y lo que se descargaba era el malware.
Otros malware muy frecuentes son aquellos del tipo Adware, que vienen a ser aquellos que integran publicidad no deseada en el sistema y en la mayoría de casos en lugares en los que no debería aparecer. Un caso llamativo y reciente fue el de cuatro apps de Google Play que incluían publicidad dentro y que, sin que el usuario viese realmente esos anuncios por estar ocultos bajo la interfaz principal, pulsaban en ellos generando un beneficio económico a los desarrolladores.
WireLurker, la primera gran amenaza para los iPhone
Fue en 2014 cuando comenzamos a saber de la existencia del troyano WireLurker, uno de los primeros malwares diseñados para iPhone y Mac. Datando de una fecha ya tan antigua, no podemos calificarlo como reciente y más sabiendo que Apple ya le puso remedio. Sin embargo, su particularidad no deja de hacer que sea interesante que entre en este listado.
Si bien WireLurker no podía atacar a un iPhone sin un Mac de por medio, lo cierto es que jugaba un papel fundamental en una época en la que el jailbreak era popular entre usuarios de iOS que veían como sus iPhone quedaban algo estancados en aspectos de personalización. De ahí que su origen estuviese en Maiyadi App Sotre, una tienda de apps de terceros para Mac en la cual se encontron casi 500 aplicaciones con el troyano en su interior.
La trampa consistía en descargar cualquiera de las apps infectadas. Estas se ejecutaban en el Mac con plena normalidad, pero era en el momento de conectar un iPhone por USB cuando comenzaba su ataque. Si el dispositivo tenía jailbreak, la app tenía la capacidad de detectarlo y sustituir algunas apps y colando el troyano en ellas.
En dispositivos que no tuviesen jailbreak, el troyano solo podía actuar si la app se descargaba con un certificado de distribución empresarial. Y aunque la inmensa mayoría de descargas de aplicaciones que contenían este malware radicaban en China, lo cierto es que inspiró algunas variantes que fueron extendiéndose en otros territorios.
La peligrosidad era alta, ya que prácticamente se hacía con el control absoluto del dispositivo. Se supo que actuaba de forma silenciosa sin que el usuario fuese consciente, pero en segundo plano iba recopilando todo tipo de información relativa a llamadas telefónicas, mensajería, acceso a fotografías y vídeos... Un drama absoluto que, por suerte, queda ya lejos de nuestros tiempos.
Los clásicos SMS con phishing son también tendencia
La moda actual parece girar en torno a las estafas por SMS e incluso a través de WhatsApp. Todo ello con timos catalogados como phishing, término que viene a describir todo aquel intento de estafa en el que se suplante la identidad de otra persona, empresa u entidad pública.
Así, asistimos casi a diario a la recepción de SMS en los que aseguran ser de empresas de mensajería como Correos o DHL pidiendo el pago de un envío para poder recibirlo. En todos esos mensajes se adjunta al final un link que lleva a una presunta web de la empresa en la que se pide introducir los datos de pago. Y sí, es una plataforma de pago real, pero no de la empresa de mensajería, sino de los estafadores que quieren obtener tus datos de pago para robarte dinero.
Otro caso común en los SMS tienen relación con entidades bancarias como Banco Santander o Caixabank. Estos alertan de algún problema con la cuenta bancaria o con la tarjeta de crédito. En otras ocasiones hacen alusión a un pago indebido o similar. En cualquiera de los casos, se enlaza a una supuesta página del banco que normalmente está muy bien lograda, dando apariencia de ser real y no, dado que también buscan tener tus datos de acceso al banco para acceder a tu cuenta.
En otras ocasiones lo que se hace es solicitar la descarga de una supuesta nueva app del banco, la cual es en realidad un APK malicioso. En estos casos el peligro es aún mayor, ya que podrán solicitar determinados permisos sensibles con los que los ciberdelincuentes podrán acceder a la lectura de SMS y con ello lograr obtener códigos de verificación que envía el banco al realizar una transacción.
Técnicamente, estas estafas no son malware, pero pueden ser igual o más peligrosas. De ahí que siempre aconsejemos desconfiar de todos estos mensajes que incluyan un enlace externo al final, ya que la url suele ser siempre maliciosa e incluso dar sensación de no serlo por estar enmascarada.
De igual forma, cabe recordar que muchos de estos mensajes logran pasar los filtros de Google y logran parecer que vienen de una empresa real al encontrarse en el mismo hilo de conversación de la empresa. Por ello, en caso de dudas lo mejor es contactar con la empresa que supuestamente envía ese mensaje a través de canales oficiales que dispongan para ello.
