Malware dropper en Google Play Store: apps que instalan virus

Malware dropper en Google Play Store: apps que instalan virus

Un dropper Android es una app aparentemente inofensiva que, una vez instalada, descarga e instala malware real en tu móvil. El problema del malware Play Store no es teórico: familias como SharkBot y Vultur Android han pasado los filtros de Google disfrazadas de lectores de PDF, gestores de archivos, escáneres de código o linternas. La app maliciosa de Google Play pide permisos razonables, funciona como promete durante días, y luego activa su carga útil cuando ya nadie sospecha. Google Play Protect no es infalible, y los atacantes lo saben. Aquí te explicamos cómo operan estos droppers, qué familias son las más peligrosas ahora mismo y cómo detectar una descarga sospechosa antes de que te vacíe la cuenta bancaria.

Qué es un dropper y por qué es tan efectivo

Un dropper no es el virus. Es el cartero que lo trae. Su único trabajo es colarse en la tienda oficial pasando desapercibido y, una vez dentro de tu dispositivo, traer el malware de verdad desde un servidor externo.

Esta separación es deliberada. El código malicioso pesado nunca viaja en el paquete inicial que Google analiza. La app sube limpia, supera la revisión automática y manual, y solo después de la aprobación descarga el payload. A esta técnica se la conoce como carga diferida o staged payload.

Los droppers modernos añaden trucos para evitar el análisis:

  • Geofencing: el malware solo se activa en países concretos. Si el móvil detecta que está en un centro de datos de Google en EE. UU., no hace nada.
  • Retardo temporal: espera horas o días antes de descargar la carga, superando los análisis de comportamiento de corta duración.
  • Actualización maliciosa: la app se publica limpia y meses después, vía actualización, introduce el código dañino cuando ya tiene miles de descargas y buenas reseñas.
  • Ofuscación de cadenas y cifrado del código para que los escáneres estáticos no encuentren nada sospechoso.

El resultado es una app maliciosa de Google Play con valoraciones de cuatro estrellas y decenas de miles de instalaciones. La confianza en la tienda oficial juega en tu contra.

SharkBot y Vultur: los troyanos bancarios que llegan por dropper

Las dos familias más documentadas por firmas de seguridad como ThreatFabric y NCC Group son troyanos bancarios que se distribuyen precisamente mediante este método.

SharkBot apareció a finales de 2021. Se distribuye a través de falsos antivirus y limpiadores de sistema. Su especialidad son las transferencias automáticas (técnica ATS): en lugar de robar tus credenciales y esperar, inyecta operaciones bancarias directamente desde tu propio móvil, saltándose muchos sistemas antifraude que buscan dispositivos desconocidos. También intercepta SMS para capturar códigos de verificación y muestra pantallas superpuestas falsas sobre apps bancarias legítimas.

Vultur Android, descubierto por ThreatFabric en 2021, dio un salto técnico. En lugar de superponer pantallas falsas, usa VNC y grabación de pantalla para ver en tiempo real lo que haces. Abusa de los servicios de accesibilidad de Android para leer todo lo que aparece en pantalla y registrar pulsaciones. Variantes posteriores añadieron control remoto completo del dispositivo. Se ha distribuido a través de apps de autenticación y utilidades falsas en Google Play.

Ambas familias tienen algo en común: el dropper Android que las trae abusa del permiso de instalar apps de fuentes externas y de la accesibilidad. Si una linterna te pide activar servicios de accesibilidad, algo va muy mal.

FamiliaTipoTécnica claveObjetivo
SharkBotTroyano bancarioTransferencias automáticas (ATS)Banca y cripto
VulturTroyano RATVNC + grabación de pantallaCredenciales bancarias
Anatsa/TeaBotTroyano bancarioOverlay + keyloggingBanca europea
Hydra / ErmacTroyano bancarioOverlays y robo de SMSCientos de apps bancarias

La familia Anatsa (también conocida como TeaBot) merece mención aparte: ha reaparecido en Google Play en varias oleadas disfrazada de lectores de PDF y escáneres, apuntando específicamente a bancos europeos. Es el ejemplo perfecto de por qué las descargas de la tienda oficial no son garantía de nada.

Cómo se cuela un dropper en la tienda oficial

Google Play tiene revisión automática con Play Protect y revisiones manuales para apps sospechosas. Aun así, los atacantes explotan varias grietas.

  1. La app limpia inicial. Se publica una utilidad funcional y sin código malicioso. Pasa el filtro sin problema.
  2. Reputación construida. Se compran o generan reseñas positivas y descargas para dar credibilidad.
  3. La actualización envenenada. Semanas después, una actualización introduce el dropper o activa una función que descarga el malware desde un servidor de comando y control.
  4. Abuso de permisos legítimos. El permiso REQUEST_INSTALL_PACKAGES permite instalar APK externos. Combinado con accesibilidad, el dropper instala el troyano casi sin intervención del usuario.

Este patrón se parece mucho a las técnicas que vemos en otros vectores móviles. Si te interesa la diferencia entre plataformas, tenemos un análisis sobre las diferencias de seguridad entre iOS y Android que explica por qué el modelo abierto de Android facilita este tipo de ataques. Y como muchos droppers piden códigos por SMS, activar la autenticación de dos factores con app en lugar de SMS reduce bastante el daño potencial.

Señales de alerta antes y después de instalar

No hace falta ser analista de malware para detectar una app maliciosa de Google Play. Estas son las banderas rojas más fiables.

Antes de instalar:

  • El desarrollador no tiene web, ni política de privacidad clara, ni otras apps con historial.
  • Las reseñas positivas son genéricas y llegan todas en pocos días. Las negativas mencionan cargos raros o comportamiento extraño.
  • La app pide permisos que no encajan con su función. Una calculadora no necesita leer SMS ni accesibilidad.
  • El nombre imita a una app conocida con una letra cambiada o añadida.

Después de instalar (síntomas de infección):

  • La batería se agota rápido y el móvil se calienta sin motivo.
  • Consumo de datos disparado (el malware habla con su servidor).
  • Aparecen pantallas superpuestas pidiendo credenciales bancarias.
  • La app pide insistentemente activar servicios de accesibilidad o instalar apps desconocidas.
  • Se instalan aplicaciones que tú no descargaste.

Si sospechas, antes de instalar cualquier APK puedes subir el archivo a VirusTotal, que lo analiza con más de setenta motores antivirus. Y para revisar si tus credenciales ya circulan tras una posible filtración, Have I Been Pwned sigue siendo la referencia gratuita más útil.

Cómo protegerte del malware en Play Store

La defensa es capas, no una sola medida mágica.

  • Mantén Play Protect activo y actualiza el sistema. Los parches de seguridad mensuales de Android cierran vulnerabilidades que los droppers explotan.
  • Revisa los permisos en Ajustes tras cada instalación. Retira accesibilidad a cualquier app que no la necesite de forma evidente.
  • Nunca instales APK de fuentes externas salvo que sepas exactamente qué haces. Desactiva "instalar apps desconocidas" por defecto.
  • Usa 2FA por app (Google Authenticator, Aegis) en lugar de SMS, que el malware puede interceptar.
  • Instala un antimalware reputado como Malwarebytes o Bitdefender Mobile, que detectan comportamiento de dropper.
  • Desconfía de la urgencia. Igual que en el spam por WhatsApp con grupos y cadenas falsas, la prisa es la herramienta favorita del atacante para que instales sin pensar.

Para quienes gestionan la seguridad de un negocio o desarrollan sus propias aplicaciones, el enfoque cambia: conviene auditar dependencias, firmar el código y controlar qué se instala en los dispositivos corporativos. Si tu empresa desarrolla software móvil, plantéate revisar el ciclo con un equipo especializado en desarrollo de apps móviles iOS y Android que integre seguridad desde el diseño.

Preguntas frecuentes

¿Es seguro descargar apps solo desde Google Play?

Es más seguro que hacerlo desde tiendas de terceros, pero no es garantía total. Familias como SharkBot, Vultur y Anatsa han superado los filtros en varias ocasiones. Revisa siempre permisos, desarrollador y reseñas antes de instalar.

¿Qué hago si creo que instalé un dropper?

Desinstala la app de inmediato, activa el modo avión para cortar la comunicación con su servidor y ejecuta un escaneo con un antimalware reputado. Cambia las contraseñas de tu banca desde otro dispositivo limpio y revisa movimientos recientes en tus cuentas.

¿SharkBot y Vultur afectan a iPhone?

No. Ambos son malware específico de Android que abusa de los servicios de accesibilidad y la instalación de APK externos, funciones que iOS no permite del mismo modo. iOS tiene otros riesgos, pero estos troyanos bancarios concretos no le afectan.

¿Por qué Google no elimina estas apps antes?

Los droppers suben limpios y activan la carga maliciosa mediante actualizaciones o descargas diferidas, a menudo con geofencing para evadir el análisis. Google las retira cuando las detecta, pero el margen entre publicación y eliminación basta para infectar a miles de usuarios.

¿Un antivirus gratuito basta para protegerme?

Ayuda, pero no sustituye al sentido común. La mayor parte de las infecciones ocurren porque el usuario concede permisos peligrosos o instala apps de dudosa procedencia. La revisión manual de permisos y la actualización del sistema son igual de importantes que el antivirus.

El siguiente paso

Abre ahora mismo Ajustes > Accesibilidad en tu Android y revisa qué apps tienen ese permiso activado. Retíralo a cualquiera que no sea un lector de pantalla o una herramienta de accesibilidad real: es la puerta que SharkBot y Vultur necesitan para operar, y cerrarla te lleva treinta segundos.

malware play store dropper android app maliciosa google play sharkbot vultur android

Artículos relacionados

← Volver al blog