Es posible que haya oído la noticia de que más de 300.000 usuarios de Android descargaron sin saberlo aplicaciones bancarias de Google Play que resultaron ser troyanos, o dicho de otro modo, aplicaciones maliciosas que eludieron las detecciones de seguridad de la tienda para instalar malware.
Esta noticia fue dada a conocer por un informe sobre seguridad, que descubrió que estos troyanos aparentaban ser aplicaciones que la gente suele buscar, como escáneres de códigos QR, aplicaciones de fitness y un sinfín de funciones populares. Estas aplicaciones falsas contienen troyanos que están diseñados para robar información bancaria, registrar pulsaciones de teclado mientras introduce la información de su cuenta e incluso realizar capturas de pantalla de lo que está haciendo en su móvil.
El truco de este malware es que no se activa hasta que no se ha instalado, pero el usuario podría no saber esto. Para activar el malware, se requiere un paso adicional, como una actualización dentro de la aplicación (no mediante la Play Store), que luego descarga el malware en el teléfono. En muchos casos, una vez que están instaladas, las aplicaciones falsas fuerzan a los usuarios a actualizarlas.
Así que, aunque las aplicaciones que aparezcan en la Play Store no contengan el malware, sí que instalan la carga viral en el teléfono del usuario desde otros servidores después de la compra. Y es por esta razón que las aplicaciones maliciosas no son fáciles de detectar.
En definitiva, todo esto es otra forma más que los hackers han encontrado para infectar los smartphones con malware.
No es de extrañar que se aprovechen de los smartphones. Están llenos de información y fotos personales, además de credenciales para aplicaciones bancarias y de pago, que son datos de valor que los hackers pueden robar o por los que pueden pedir un rescate. Si a esto le añadimos las potentes funciones de los smartphones, como cámaras, micrófonos o GPS, al atacar un teléfono los hackers podrían:
- Averiguar su ubicación actual y los movimientos que hace a diario.
- Secuestrar las contraseñas de sus cuentas de redes sociales, de compras y financieras.
- Vaciar su cartera acumulando compras en la tienda de aplicaciones y accediendo a sus aplicaciones de pago.
- Leer sus mensajes de texto o robar sus fotos.
En resumen, todo ello son cosas que queremos evitar a toda costa.
¿Y cómo funciona este tipo de aplicaciones maliciosas? Al hacerse pasar por aplicaciones genuinas, pueden acabar en su móvil y obtener permisos para acceder a archivos, fotos y funcionalidades, o introducir código que permita a los ciberdelincuentes recopilar información personal. El resultado: una gran variedad de problemas, desde una plaga de anuncios emergentes hasta el costoso robo de identidad.
Estas son algunas de las aplicaciones maliciosas que han aparecido en las noticias últimamente:
- Programas falsos de bloqueo de anuncios, que irónicamente introducen más anuncios.
- Aplicaciones de VPN fraudulentas que cobran una suscripción y no ofrecen ninguna protección.
- Aplicaciones de funcionalidades que secuestran los privilegios y permisos de sistema, lo que a su vez expone a los usuarios a más ataques.
De nuevo, esto es algo que queremos evitar. Así que, veamos cómo protegernos de aplicaciones maliciosas como estas.
Siete pasos para descargar aplicaciones móviles de forma más segura
La buena noticia es que hay formas de identificar a estas impostoras. Las principales tiendas de aplicaciones como Google Play y la App Store de Apple hacen lo que pueden para que el malware no se cuele en su catálogo, según informan Google y Apple. Aun así, los ciberdelincuentes pueden encontrar la forma de eludir estas medidas. (Al fin y al cabo es a lo que se dedican). Por ello, tener un poco más de precaución le brindará mayor seguridad. Estos pasos pueden serle útiles:
1) Preste atención a los permisos de las aplicaciones
Otra forma que los ciberdelincuentes utilizan para colarse en su dispositivo son los permisos de acceso a su ubicación, contactos y fotos, entre otras cosas; y se servirán de aplicaciones fraudulentas para ello. (Recuerde las estafas de aplicaciones gratuitas de linterna que hemos mencionado antes. Solicitaban más de 70 permisos distintos, para grabar audio, vídeo, acceder a contactos, etc.). Así que, preste atención a los permisos que la aplicación solicita cuando la instale. Si pide más de lo que cabría esperar, como un juego sencillo que solicita acceso a su cámara o micrófono, podría ser una estafa. Elimine la aplicación y busque una legítima que no requiera permisos invasivos como esos.
Además, puede comprobar qué permisos solicitan las aplicaciones antes de descargarlas. En Google Play, baje hasta el final de la ficha de la aplicación y encuentre “Datos de la app”. Allí, haga clic en “Permisos de la aplicación”, que le proporcionará una lista informativa. En la App Store de iOS, baje hasta “Privacidad de la app” y pulse “Ver información” para obtener una lista similar. Si tiene curiosidad por los permisos con los que cuentan las aplicaciones que ya están en su teléfono, puede informarse sobre cómo permitir o denegar permisos a las aplicaciones en iOS aquí o aquí si utiliza Android.
2) Desconfíe de las aplicaciones que le solicitan una actualización después de instalarlas
Aunque algunas aplicaciones, como juegos, funcionan mediante contenido descargable desde dentro de la misma aplicación, tenga cuidado con aquellas que le soliciten actualizarlas inmediatamente desde la aplicación. Por lo general, la aplicación que descargue de la tienda será la versión más reciente y no necesitará una actualización. En cualquier caso, evite instalar actualizaciones desde dentro de la aplicación y hágalo desde la tienda, para así reducir la probabilidad de ataques con malware como estos.
3) Examine la aplicación con ojo crítico
Al igual que con muchos ataques, los ciberdelincuentes necesitan que la gente haga clic o toque “descargar” sin pensarlo mucho. Antes de descargar, investigue un poco para descubrir si hay alguna señal de que la aplicación sea maliciosa. Investigue sobre el desarrollador: ¿ha publicado otras aplicaciones con muchas descargas y buenas reseñas? Las aplicaciones genuinas suelen tener bastantes reseñas, mientras que las maliciosas podrían tener solo unas pocas reseñas (falsas) de cinco estrellas. Por último, compruebe si hay erratas o errores gramaticales en la descripción y las capturas de pantalla. Pueden ser una señal de que un hacker ha montado la aplicación y la ha implementado rápidamente.
4) Haga caso de las recomendaciones fiables
Antes que revisar reseñas de usuarios, es mejor obtener una recomendación de una fuente de confianza, como una publicación conocida o de los editores de la tienda de aplicaciones. Así, el revisor designado ya habrá realizado por usted gran parte del trabajo de investigación. Una rápida búsqueda online, como “mejores aplicaciones de fitness” o “mejores aplicaciones para viajar” debería llevar a sitios legítimos con buenas sugerencias que dispongan de una descripción detallada que pueda consultar antes descargarlas.
5) Evite tiendas de terceros
A diferencia de Google Play y la App Store de Apple, que han adoptado medidas para revisar y vetar las aplicaciones y asegurarse de que sean seguras, los sitios de terceros podrían no contar con estos mecanismos de seguridad. De hecho, algunos sitios de terceros podrían albergar intencionalmente aplicaciones maliciosas como parte de una estafa mayor. Y sí, es cierto que los ciberdelincuentes han encontrado formas de pasar los procesos de revisión de Google y Apple, pero aun así la probabilidad de descargar una aplicación segura con ellos es mucho mayor que con cualquier tercero. Además, tanto Google como Apple retiran rápidamente las aplicaciones maliciosas una vez que se detectan, lo que logra que sus tiendas sean mucho más seguras.
6) Proteja su smartphone con software de seguridad
Con todo lo que hacemos en nuestros teléfonos, es importante instalarles un software de seguridad, al igual que hacemos en nuestros PC y portátiles. Ya sea que elija una solución de seguridad integral que proteja todos sus dispositivos o bajarse una aplicación en Google Play o en la iOS App Store de Apple, contará con protección contra malware tanto en su dispositivo como en su navegador para que pueda utilizar su teléfono de forma segura.
7) Actualice el sistema operativo de su teléfono
Mantener el sistema operativo de su teléfono actualizado es tan importante como instalar un software de seguridad. Las actualizaciones pueden corregir vulnerabilidades de las que los ciberdelincuentes se aprovechan para lanzar sus ataques con malware, por lo que es un método eficaz para protegerse y lograr que su teléfono siga funcionando correctamente.
Manténgase alerta contra el malware móvil
Estas son otras cosas que puede hacer:
- Preste atención a su teléfono. En algunas ocasiones, el malware móvil deja pistas de que su teléfono está en peligro, como hacer que el dispositivo se caliente mucho o que funcione mal.
- Vigile sus cuentas. Es probable que cualquier tipo de estafa o robo de identidad deje un rastro en su extracto o en sus aplicaciones bancarias y de pago. Si nota algo raro, haga un seguimiento e informe de ello.
- Considérelo como parte de sus medidas generales de seguridad. Podría revelar transacciones de robo de identidad que usted desconocía, por ejemplo, que alguien esté alquilando un apartamento a su nombre.
Por último, pregúntese si realmente necesita esa aplicación. Una forma de evitar las aplicaciones maliciosas es descargar menos aplicaciones en general. Si no tiene claro si ese juego gratuito es genuino o si le parece que la oferta de tal aplicación de productividad es demasiado buena, no los descargue. Busque una opción mejor u olvídese de la idea. Como mencionábamos antes, los ciberdelincuentes dependen de que nosotros hagamos clic y descarguemos sin pensar. Tardará solo unos minutos en protegerse contra el malware móvil y aunque el tiempo es oro, en comparación con el coste de un teléfono hackeado, unos minutos es un precio irrisorio.
Mantente al día
Síguenos para mantenerte al día de las novedades de McAfee y estar al tanto de las amenazas de seguridad más recientes para particulares y dispositivos móviles.
