Así opera GriftHorse, un troyano infecta a millones de Android en el mundo

Un nuevo y peligroso troyano ha infectado a más de 10 millones de dispositivos Android en todo el mundo, y su nombre es GriftHorse.

Zimperium, una compañía especializada en seguridad informática, fue la primera en identificar este malware que opera desde noviembre del año pasado.

Aunque su base de víctimas no supera el 1% de todos los móviles Android que hay en todo el planeta, este código malicioso impacta en terminales de más de 70 países. 

Lo que consigue este troyano es que los usuarios se suscriban a servicios premium sin quererlo, con lo que en muchos casos las víctimas comprueban cómo en su banco aparecen cargos de hasta 854 pesos mensuales sin saber de qué y por qué.

Los investigadores de Zimperium creen que con esta peculiar estafa los desarrolladores del troyano ganaron millones de euros, dice The Register.

El problema de este troyano es que está presente en docenas de aplicaciones

Google ya ha movido ficha y las eliminó de su Play Store, pero muchas de estas apps pueden seguir presentes en tiendas de aplicaciones de terceros, en las que los usuarios pueden descargar los archivos .apk e instalarlos en su terminal.

Los investigadores que han dado los detalles sobre cómo funciona GriftHorse trabajan en Zimperium y se llaman Aazim Yaswant y Nipun Gupta.

En una publicación en el blog de su compañía, ambos desgranan que hasta que el usuario es infectado por el troyano, este bombardea a sus víctimas con notificaciones no deseadas.

Esas notificaciones se dan en las apps infectadas que el usuario pueda haber instalado.

La notificación es la propia de cualquier tipo de malware: lanza un mensaje avisando a su potencial víctima de que esta ha ganado un premio que tiene que reclamar en ese preciso momento. 

Si la víctima no pica en su primer intento, la notificación se puede llegar a repetir hasta cinco veces cada hora.

Cuando la víctima pincha, el troyano abre un formulario especialmente diseñado para cada ubicación (no será el mismo formulario el que se despliegue en un celular de España que en un celular de India) en el que se pide que el usuario registre su número de teléfono para proceder a una verificación.

¿Qué hace el troyano?

Pero esa verificación no existe. Lo que hace el troyano es enviar automáticamente el número de teléfono a un servicio premium de pago vía SMS con la que las víctimas pueden llegar a perder hasta 854 pesos mensuales. 

De momento, los investigadores destacan que las aplicaciones cuyo código se ha visto intervenido por el troyano para propagarse están todas desarrolladas sobre el marco de Apache Cordova, que confía en lenguajes de programación como HTML, CSS o JavaScript y que ofrece un método muy sencillo para que las apps envíen push a los móviles de sus usuarios.

Entre las apps afectadas se encuentran herramientas como traductores o brújulas, y también versiones no licenciadas de videojuegos de simulación de conducción de autobuses o incluso apps de citas.

En total, todas las aplicaciones en las que estaba presente el código de GriftHorse suman unos 17 millones de descargas. Puedes consultar la lista completa de apps al final de este artículo.

GriftHorse no es tan peligroso como troyanos que atacan directamente al usuario para tratar de robarles sus credenciales bancarias. 

Sin embargo, la posibilidad de extraer dinero de sus víctimas mediante un servicio de suscripción SMS no deseado, así como su elevada propagación, lo hacen un problema a tener en cuenta en los dispositivos móviles.

AHORA LEE: Si tienes una cuenta de WhatsApp Business esta nueva función te permitirá vincularla con Instagram

TAMBIÉN LEE: ¿Está en manos de hackers la base de datos de transparencia más grande de México?

Descubre más historias en Expertos en Línea

Síguenos en Facebook, Instagram, LinkedIn, Twitter y Youtube

AHORA VE: