Nueva protección de Google: «Les enseñaremos a no descargar porquerías». Los hackers: «Y nosotros enseñaremos a la porquería a descargarse a sí misma».

Los discretos droppers, que durante mucho tiempo sirvieron como elemento auxiliar en el arsenal de troyanos bancarios y herramientas RAT para Android, se están transformando rápidamente. Los expertos de ThreatFabric registraron una tendencia preocupante: ahora los droppers se usan activamente para entregar malware mucho más sencillo —desde programas espía hasta malware que roba SMS—. Y lo que es especialmente importante: su arquitectura ya está adaptada al nuevo sistema de protección de Google llamado Pilot Program.

La esencia de un dropper está en su camuflaje: se presenta como una aplicación ordinaria sin signos de malicia, pero tras la instalación en el dispositivo extrae el componente malicioso principal. Esto le permite sortear las comprobaciones de seguridad iniciales, incluidos los mecanismos de Play Protect. Este enfoque se volvió especialmente relevante después del endurecimiento de la política de Android 13, que restringió el acceso a ciertas API y permisos sensibles. Sin embargo, los droppers han sabido adaptarse y ahora solicitan accesos como los servicios de accesibilidad (Accessibility Services) una vez que la carga útil ya está instalada.

Pilot Program fue creado por Google específicamente para combatir el fraude financiero en países con alto nivel de ataques, incluidos India, Brasil, Tailandia y Singapur. A diferencia del escaneo estándar de Play Protect, este sistema analiza las aplicaciones en el momento de la instalación, sobre todo cuando se descargan desde fuentes externas. La programa bloquea la instalación si detecta permisos sospechosos —por ejemplo, lectura y recepción de SMS, notificaciones o acceso a capacidades destinadas a personas con discapacidad—. Sin embargo, los atacantes pronto encontraron maneras de eludir también estas comprobaciones.

Los droppers modernos, especialmente diseñados para sortear Pilot Program, hacen que la primera fase de la instalación sea lo más “silenciosa” posible: sin solicitudes de permisos peligrosos, sin código sospechoso y con una pantalla aparentemente inocua de “actualización”. En uno de los experimentos, los investigadores intentaron instalar a través de un dropper una aplicación legítima pero sensible a permisos, SMS Messenger. En el esquema de evasión, el dropper pasa sin problemas la fase inicial de escaneo, mostrando solo un botón «Actualizar». La actividad real comienza después —cuando el usuario hace clic—, momento en el que se descarga o descifra la carga útil y se solicitan todos los permisos necesarios. En ese escenario Play Protect puede advertir sobre la amenaza, pero la decisión final sigue siendo del usuario.

Así, entre la primera instalación y el arranque de la función maliciosa principal aparece una ventana temporal que los atacantes explotan. Incluso los malware “simples”, que no requieren permisos especiales, ahora se esconden en droppers porque eso aumenta sus posibilidades de infiltración exitosa.

Un ejemplo destacado es RewardDropMiner: un dropper multifuncional que en distintas etapas se ha usado para entregar programas espía, ejecutar código malicioso de respaldo e incluso minería oculta de Monero. En la versión más reciente, conocida como RewardDropMiner.B, se eliminó la funcionalidad del minero y de la carga espía —aparentemente en respuesta a la divulgación y la identificación de los monederos utilizados.

Sin embargo, RewardDropMiner no es el único representante de esta nueva generación de droppers. Los investigadores señalan toda una serie de muestras similares: SecuriDropper, Zombinder, BrokewellDropper, HiddenCatDropper, TiramisuDropper. Algunos emplean una instalación en dos fases mediante el Session Installer API, lo que permite ocultar las solicitudes reales de permisos y camuflar la actividad maliciosa. Otros, como Zombinder, se propagan activamente a través de WhatsApp o sitios falsos.

Este enfoque permite a los atacantes no solo mantener el acceso a los dispositivos, sino también garantizar la entrega de la carga útil independientemente de la región y de las protecciones que ofrezca el entorno Android. En esencia, los droppers se han convertido en un instalador universal de malware de cualquier nivel de complejidad —desde espías triviales hasta troyanos bancarios avanzados.

Los especialistas subrayan que Play Protect y Pilot pueden detener muchas amenazas, pero solo dentro de un sistema de defensa que evolucione. Los atacantes se adaptan con rapidez —tanto que soluciones eficaces hoy pueden volverse inútiles mañana. La evolución de los droppers lo demuestra claramente. No desaparecen, sino que se vuelven más inteligentes e ingeniosos, y eso exige que las defensas evolucionen al mismo ritmo.