Análisis Exhaustivo: El Troyano Necro y Su Impacto en 11 Millones de Dispositivos Android
El cibercrimen sigue evolucionando, y la reciente amenaza protagonizada por el troyano Necro es prueba de ello. Este malware ha logrado infectar más de 11 millones de dispositivos Android a través de aplicaciones distribuidas en Google Play, así como versiones modificadas de apps populares como WhatsApp, Spotify y Minecraft. A pesar de los esfuerzos de seguridad de la tienda de Google, el malware sigue causando estragos, poniendo en riesgo la seguridad de millones de usuarios.
El presente análisis aborda el funcionamiento del troyano Necro, las aplicaciones comprometidas, su propagación a través de APKs modificadas y las mejores prácticas para protegerse de este tipo de amenazas.
Regular readers of our blog may recall when we wrote about ‘Necro’, which we first wrote about it way back in 2019. Back then, we discovered a Trojan in CamScanner which had managed to clock up over 100 million downloads on Google Play.
Fast-forward to today and the trojan has… pic.twitter.com/9ZnvfBvgjd
— Kaspersky (@kaspersky) September 24, 2024
El Surgimiento del Troyano Necro: ¿Qué lo hace tan Peligroso?
El troyano Necro, detectado inicialmente por investigadores de seguridad de Kaspersky, ha evolucionado en sus tácticas y estrategias para infectar dispositivos Android. Su principal habilidad radica en ocultarse dentro de aplicaciones legítimas y en mods o versiones modificadas de apps populares. Esto lo convierte en una amenaza sigilosa que es capaz de evadir los controles de seguridad de Google Play y otros sistemas de detección.
Capacidad de Propagación
Necro no solo se distribuye a través de aplicaciones descargadas desde Google Play, sino que también se esconde en versiones modificadas de apps ampliamente utilizadas. Utiliza kits de desarrollo de software (SDK) maliciosos, que permiten que el malware se incruste en las apps y se distribuya ampliamente. Un ejemplo de esto es la aplicación Wuta Camera, que acumuló más de 10 millones de descargas antes de ser obligada a eliminar el código malicioso. Otro caso destacado es Max Browser, una aplicación centrada en la privacidad con más de un millón de descargas, que fue completamente retirada de Google Play después de confirmarse su relación con Necro.
Funcionamiento de Necro: ¿Cómo Afecta a los Dispositivos?
Necro opera de manera sigilosa en segundo plano una vez que se instala en un dispositivo Android. Algunas de sus funciones más dañinas incluyen:
1. Anuncios Intrusivos: Utiliza ventanas WebView invisibles para mostrar anuncios en segundo plano, generando ingresos fraudulentos para los atacantes sin que el usuario lo note.
2. Descarga y Ejecución de Archivos Maliciosos: Necro tiene la capacidad de descargar y ejecutar archivos adicionales en el dispositivo infectado, aumentando el riesgo de comprometer aún más la seguridad del sistema.
3. Suscripciones Fraudulentas: Uno de los métodos más perjudiciales de Necro es su capacidad para suscribir a los usuarios a servicios de pago sin su consentimiento. Esto puede generar costos elevados para las víctimas, quienes no tienen idea de que están siendo explotadas.
4. Redirección de Tráfico Malicioso: Los dispositivos infectados por Necro son utilizados como servidores proxy, redirigiendo el tráfico de Internet de forma maliciosa sin que los usuarios sean conscientes.
Apps Afectadas: Wuta Camera y Max Browser
Wuta Camera: Un Enfoque en la Privacidad con Graves Consecuencias
Wuta Camera, una aplicación que prometía embellecimiento fotográfico y filtros atractivos, acumuló más de 10 millones de descargas antes de que Google interviniera para eliminar el código malicioso. A pesar de las actualizaciones posteriores que eliminan el malware, los expertos en ciberseguridad advierten que las cargas útiles previamente instaladas aún podrían estar activas en los dispositivos afectados.
Max Browser: La Amenaza Persistente
Max Browser, una aplicación que inicialmente promovía su enfoque en la privacidad y la seguridad, fue otra de las grandes afectadas por Necro. Con más de un millón de descargas, la app fue retirada de Google Play después de confirmarse su infección por este troyano. Sin embargo, la falta de una versión limpia de Max Browser sigue siendo un problema para los usuarios que aún no han eliminado la aplicación de sus dispositivos.
Fuentes Externas de Infección: Los Peligros de las APKs Modificadas
Además de las aplicaciones distribuidas a través de Google Play, Necro sigue propagándose mediante APKs modificadas de aplicaciones populares como Spotify, WhatsApp y Minecraft. Estos mods, que a menudo prometen acceso a funciones premium de manera gratuita, son un señuelo para los usuarios desprevenidos.
Los cibercriminales han aprovechado esta popularidad para infiltrar Necro en las versiones alteradas de las apps, comprometiendo seriamente la seguridad de los dispositivos infectados. A continuación, se destacan algunos de los mods más afectados por Necro:
1. GBWhatsApp y FMWhatsApp: Mods que prometen mayor privacidad y personalización, pero que en realidad esconden el troyano Necro.
2. Spotify Plus: Una versión modificada de Spotify que ofrece acceso gratuito a los servicios premium, pero que compromete la seguridad del dispositivo.
3. Mods de Juegos como Minecraft y Stumble Guys: Estos mods permiten a los usuarios acceder a contenido premium o hackear el juego, a costa de poner en riesgo la integridad de su dispositivo.
Cómo Necro Evade la Seguridad: Esteganografía y Ofuscación
Una de las técnicas más avanzadas utilizadas por Necro para evadir la detección es la esteganografía. Este método consiste en ocultar la carga útil del malware dentro de imágenes PNG aparentemente inofensivas, lo que hace que sea difícil para los sistemas de seguridad identificar la amenaza.
Además, Necro utiliza la ofuscación del código, una técnica que oculta el propósito real del malware al complicar la estructura del código fuente. Esto le permite evadir los sistemas de detección automatizada, como Google Play Protect, y propagarse sin ser detectado.
El Impacto en los Usuarios: Consecuencias de la Infección por Necro
El impacto de Necro en los dispositivos infectados es considerable. Desde la aparición de anuncios intrusivos hasta la suscripción fraudulenta a servicios de pago, los usuarios afectados pueden enfrentarse a graves consecuencias económicas y de privacidad.
Explotación Financiera
Una de las mayores preocupaciones es el impacto financiero que Necro puede tener en los usuarios. Al suscribir a las víctimas a servicios de pago sin su conocimiento, los atacantes pueden acumular cargos sustanciales en las cuentas de los usuarios, lo que puede ser difícil de detectar y revertir.
Pérdida de Privacidad
Además del impacto económico, Necro compromete seriamente la privacidad de los usuarios. El malware tiene la capacidad de recopilar información personal, como contraseñas, detalles de inicio de sesión y otra información confidencial, que luego puede ser utilizada para fines maliciosos.
Cómo Protegerse de Necro: Medidas Preventivas
Aunque Necro ha demostrado ser una amenaza compleja, hay varias medidas que los usuarios pueden tomar para protegerse de este y otros tipos de malware.
1. Descargar Aplicaciones Solo de Fuentes Oficiales
Una de las recomendaciones más importantes es descargar aplicaciones únicamente de fuentes oficiales como Google Play. Aunque no es una garantía total de seguridad, la tienda oficial de Google implementa medidas para reducir el riesgo de malware.
2. Evitar APKs Modificadas
El uso de mods o versiones modificadas de apps populares es uno de los principales vectores de infección para Necro. Los usuarios deben evitar descargar aplicaciones desde sitios web no verificados, ya que estas versiones a menudo contienen código malicioso.
3. Mantener el Dispositivo Actualizado
Las actualizaciones de seguridad son esenciales para proteger los dispositivos de nuevas amenazas. Los usuarios deben asegurarse de que sus dispositivos estén actualizados con los últimos parches de seguridad para reducir el riesgo de infección.
4. Utilizar Software de Seguridad Confiable
El uso de software antivirus de confianza es crucial para detectar y eliminar amenazas como Necro. Las soluciones de seguridad deben estar configuradas adecuadamente para ofrecer protección en tiempo real y realizar análisis periódicos del dispositivo.
5. Activar Play Protect
Google Play Protect es una herramienta integrada en Google Play Store que escanea las aplicaciones en busca de comportamientos maliciosos. Es esencial mantener esta función activada para reducir el riesgo de infección.
¿Qué Hacer si tu Dispositivo Está Infectado?
Si un usuario sospecha que su dispositivo ha sido infectado por Necro, debe tomar medidas inmediatas para eliminar el malware y proteger su información. Algunas de las acciones recomendadas incluyen:
1. Desinstalar las aplicaciones afectadas: Si el usuario ha descargado Wuta Camera, Max Browser o cualquier mod de apps populares, debe desinstalarlas inmediatamente.
2. Realizar un análisis de seguridad: Utilizar software de seguridad para escanear el dispositivo en busca de malware.
3. Cambiar contraseñas: Si el malware ha comprometido el dispositivo, es recomendable cambiar las contraseñas de todas las cuentas asociadas con el dispositivo.
4. Restaurar el dispositivo a los valores de fábrica: En casos extremos, restaurar el dispositivo a su estado original puede ser la única forma de eliminar completamente el malware.
Conclusión: La Evolución del Cibercrimen y la Necesidad de Estar Preparados
El troyano Necro es solo un ejemplo más de cómo los ciberdelincuentes están aprovechando las vulnerabilidades de los sistemas móviles para llevar a cabo ataques a gran escala. A pesar de las medidas de seguridad implementadas por Google y otros actores, la amenaza del malware sigue siendo real y cada vez más sofisticada.
Es crucial que los usuarios sean conscientes de los riesgos y tomen medidas proactivas para protegerse de este tipo de amenazas. La educación y la prevención son las mejores armas contra el cibercrimen en constante evolución.
