Las amenazas de malware continúan multiplicándose. Una de las últimas en aparecer ha sido Autolycos, un virus de tipo fleeceware que que suscribe al internauta a servicios de pago sin que éste se de cuenta.
Descubierto por Maxime Ingrao, un especialista en ciberseguridad francés, Autolycos se esconde en ocho aplicaciones que han sido descargadas más ocho millones de veces: Funny Camera (más de 500.000 descargas) Razer Keyboard & Theme (más de 10.000) Vlog Star Video Editor (más de 1 millón) Creative 3D Launcher (más de 1 millón) Wow Beauty Camera (más de 100.000) Gif Emoji Keyboard (más de 100.000) Freeglow Camera (más de 5.000) y Coco Camera v1.1 (más de 1000).
Los hackers que han creado esta amenaza han sido ambiciosos y han apuntado a un número muy alto de usuarios, para conseguir el mayor número de víctimas. Los estafadores no dudaron, además, en publicitar ampliamente sus creaciones en las redes sociales; para Razer Keyboard & Them, por ejemplo, había 74 campañas promocionales en marcha en Facebook e Instagram.
Alertado por la presencia de virus en los programas, Google los ha retirado de su tienda. No obstante, es urgente que los usuarios que hayan descargado estas aplicaciones las desinstalen de sus equipos y vayan a comprobar su extracto bancario para ver si hay alguna anomalía. Porque el objetivo de los creadores del malware es, por supuesto, acceder a las cuentas.
Asimismo, Ingrao detalla que es necesario monitorizar tanto los datos de Internet que se consumen en segundo plano como el consumo de batería, tener activado Play Protect y minimizar la cantidad de apps instaladas para intentar evitar este tipo de amenazas.
Cómo funciona
Al descargar una de las aplicaciones infectadas el malware se instala en el equipo. Y una vez lanzada la app, puede consultar páginas de Internet a través de peticiones HTTP sin ni siquiera abrir un navegador. Eso hace que el usuario no se dé cuenta de nada. Una vez en esos sitios, el malware puede hacer que te registres en suscripciones premium a servicios que en realidad no existen. Algunas de las aplicaciones incluso piden acceso a tus mensajes SMS.
Esto ha sido suficiente para robar aún más información confidencial y, sobre todo, para que Autolycos pueda interceptar los códigos OTP para la autenticación de dos factores. Según su descubridor, el software podría proceder de Sudáfrica y ya está causando graves daños en Nigeria y otros países.
En este caso parece que los ciberdelincuentes se han aprovechado también de la lentitud en la reacción de Google. En una entrevista con BleepingComputer, Maxime Ingrao afirmó que había advertido a la compañía de Mountain View sobre la presencia de malware en las aplicaciones en junio de 2021. Sin embargo, hubo que esperar seis meses para que seis de las ocho aplicaciones infectadas desaparecieran de la Play Store. En cuanto a las dos últimas, todavía estaban disponibles hace unas semanas.
El tipo de aplicaciones utilizadas para introducir el virus (cámara con filtros, editor de vídeo para vlogs, biblioteca de GIFs y emojis) refleja que los delincuentes están apuntando a los jóvenes, un público menos precavido en materia de ciberseguridad, especialmente en una plataforma como Google Play Store. Sin embargo, lo cierto es que los criminales suelen poner señuelos en esta plataforma porque las apps no se someten a una revisión humana antes de publicarse.