352 aplicaciones en tu teléfono están robando dinero ahora mismo: elimínalas de inmediato

Los especialistas de la empresa HUMAN descubrieron una gran operación fraudulenta llamada IconAds. Su base era una red de 352 aplicaciones móviles que mostraban anuncios superpuestos a otras apps, sin relación con la acción del usuario, y ocultaban sus propios íconos para dificultar su detección y eliminación. En su pico de actividad, la operación generaba hasta 1.200 millones de solicitudes publicitarias al día.

IconAds representa la evolución y perfeccionamiento de un esquema que los expertos observan desde 2023. Aunque otras organizaciones ya habían informado sobre versiones anteriores de este fraude, varios métodos y detalles técnicos nuevos se describen ahora en profundidad por primera vez. Según HUMAN, se ha detectado tráfico malicioso asociado a IconAds en todo el mundo, siendo Brasil, México y EE. UU. los países más afectados.

Las 352 aplicaciones maliciosas fueron eliminadas de la tienda Google Play. Los usuarios de Android están protegidos por el sistema integrado Google Play Protect, que está activo por defecto y bloquea aplicaciones peligrosas conocidas. Además, los clientes de HUMAN que utilizan soluciones de protección contra el fraude publicitario en línea también están protegidos contra las consecuencias de IconAds.

El análisis técnico reveló que las aplicaciones de la red IconAds comparten características comunes en su código, comunicación de red y comportamiento. Esto permitió vincular las diferentes versiones del esquema y detectar sus nuevas adaptaciones.

Los especialistas destacaron tres características clave de las aplicaciones maliciosas:

• IconAds utiliza intensamente ofuscación multinivel. Para ocultar los parámetros del dispositivo en las comunicaciones de red, como el modelo del teléfono, la versión del sistema operativo o el idioma, se emplean palabras aleatorias en inglés, únicas para cada app, que también se usan en las rutas de URL. Además, los nombres de los métodos Java se camuflan con combinaciones sin sentido de caracteres, y las cadenas están cifradas en forma de matrices de bytes, que son descifradas por una biblioteca nativa altamente ofuscada.
• Cada aplicación está asociada a un dominio único de servidor de comando y control (C2), pero la estructura de las solicitudes de red se mantiene constante. Para ocultar la infraestructura, los estafadores registran un dominio separado para cada aplicación, pero todos siguen un patrón similar y están vinculados a servidores comunes mediante registros CNAME, lo que permitió a los expertos rastrear sus conexiones.
• Las aplicaciones maliciosas emplean la técnica activity-alias para reemplazar el elemento principal de inicio de la aplicación. Inicialmente, al instalarse, se muestra un ícono y un nombre normal, pero tras el primer uso se activa un alias oculto, haciendo que el ícono y el nombre desaparezcan o se vuelvan invisibles, mientras la app sigue funcionando en segundo plano mostrando anuncios.

Como ejemplo, los expertos mostraron el caso de la app com.works.amazing.colour. Tras instalarla, su ícono se convierte en una mancha blanca vacía, el nombre desaparece y al intentar abrirla no ocurre nada visualmente. Sin embargo, a los pocos segundos, independientemente de las acciones del usuario, comienzan a aparecer ventanas publicitarias a pantalla completa.

En algunos casos, los estafadores fueron más allá y usaron íconos y nombres de apps populares, como Google Play Store, para camuflar el malware como aplicaciones legítimas. Una de las apps imitaba la apariencia de Google Play, y al ejecutarse redirigía al usuario a la tienda oficial, mientras en segundo plano seguía funcionando y mostrando anuncios.

La evolución de IconAds continuó a finales de 2023. Los expertos detectaron nuevas apps con técnicas de ocultación de código y comportamiento aún más sofisticadas. Estas incluyen ofuscación avanzada de cadenas mediante distintos métodos, cifrado de contenido con XOR multibyte, cambio de nombres de paquetes y traslado del código malicioso a bibliotecas ELF separadas.

Además, las nuevas versiones de las apps verifican si la instalación se realizó desde Google Play. Si la firma no coincide con la legítima, la app deja de funcionar y no se conecta al servidor de comando. Para evadir la detección, los atacantes también emplean plataformas externas con soporte para DeepLinking, activando las funciones maliciosas solo en determinadas condiciones.

La vida útil de estas apps suele ser breve: una vez detectadas y analizadas, se eliminan rápidamente de Google Play. Sin embargo, debido a la magnitud del esquema y a la actualización constante de sus tácticas, detectar todos los ejemplares maliciosos es extremadamente difícil. HUMAN insta a los usuarios de Android a prestar especial atención a las aplicaciones sospechosas, especialmente si el ícono desaparece o parece una imitación de una app oficial.