Kaspersky ha dado a conocer la existencia de un peligroso malware que ha afectado por lo menos a 4,8 millones de usuarios de Android. Se trata de Harly, un troyano que suscribe a sus víctimas a servicios premium de pago sin que ni siquiera se den cuenta.
A pesar de los intentos de Google de mantener su tienda de aplicaciones libre de software malicioso, los ciberdelincuentes siguen encontrando maneras de evadir sus controles de seguridad. Los esfuerzos de la gran G en este aspecto se reflejan en sus estrictas políticas para desarrolladores que aclaran las prácticas que constituyen infracciones en Google Play y, por lo tanto, sanciones.
Tenemos claros ejemplos de ello, como Teabot, Xenomorph y otras cepas de malware que se escondían dentro de aplicaciones supuestamente legítimas. Aunque no todo se limita a su plataforma. Los ciberdelincuentes también aprovechan el phishing para engañar a los usuarios mediante tácticas de ingeniería social, tratando de usurpar en muchos casos a ciertos bancos. Este es el caso de Revive o BRATA, dos troyanos bancarios que tenían a España entre sus principales objetivos.
El caso del fleeceware también es bastante preocupante. Este término combina las palabras “desplumar” y “malware”, lo que ya nos puede dar una idea de sus intenciones. Los criminales también incorporan este tipo de malware a aplicaciones gratuitas aparentemente oficiales, pero que, tras un periodo de tiempo, comienzan a cobrar a sus usuarios sin previo aviso. Algo similar pasa con Harly, pero, en este caso, el troyano les suscribe a servicios de pago premium sin su conocimiento.
Un troyano que hace sombra al mismísimo Joker
Debido a sus similitudes con el popular malware de Android Joker, Harly recibe su nombre en honor a Harley Quinn, la pareja del famoso villano de DC. Y es que Joker cuenta con capacidades de espionaje, accediendo a los contactos y SMS de los dispositivos, pero, además, al igual que este, puede suscribir a sus víctimas a servicios premium para hacerse con su dinero.
Como explica la compañía de ciberseguridad, Harly está presente en Google Play desde 2020. En ese tiempo, se han detectado más de 190 aplicaciones que lo utilizaban y, desde Kaspersky calculan, que al menos 4,8 millones de usuarios han sufrido sus efectos, aunque comentan que la cifra podría ser mucho mayor. Como suele ser habitual, el software malicioso se distribuía a través de apps supuestamente legítimas, lo que dificultaba su detección.
Hablamos en pasado porque, afortunadamente, Google ya ha tomado cartas en el asunto, eliminando todas estas aplicaciones de la plataforma. Sin embargo, aunque no estén disponibles en la tienda, si un usuario las tiene instaladas en su dispositivo, debe eliminarlas de inmediato para evitar cualquier cargo no deseado. A continuación, enumeraremos cuáles son las aplicaciones infectadas más descargadas:
- Pony Camera: más de 500,000 descargas
- Live Wallpaper&Themes Launcher: más de 100,000 descargas
- Action Launcher & Wallpapers: más de 100,000 descargas
- Color Call: más de 100,000 descargas
- Good Launcher: más de 100,000 descargas
- Mondy Widgets: más de 100,000 descargas
- Funcalls-Voice Changer: más de 100,000 descargas
- Eva Launcher : más de 100,000 descargas
- Newlook Launcher: más de 100,000 descargas
- Pixel Screen Wallpaper: más de 100,000 descargas
Las capacidades de Harly
Los piratas informáticos detrás de Harly descargan aplicaciones totalmente lícitas de Google Play para insertar código malicioso en ellas y, posteriormente, subirlas a la tienda con otro nombre. Muchas de ellas siguen contando con las características y funciones que ofrecían las apps suplantadas originalmente, por lo que los usuarios que las descargan no suelen cerciorarse de que se trata de una estafa.
Una vez instalada, la app fraudulenta opera en segundo plano, descargando recursos, obteniendo los datos del dispositivo en cuestión e incluso interceptando sus mensajes con códigos de verificación. Gracias a ello, es capaz de suscribir a su propietario a servicios de pago premium sin que ni siquiera llegue a sospechar de ello antes de ver su cuenta corriente.
No obstante, sí que hay una característica que le diferencia de Joker y puede hacerla aún más letal. Harly contiene toda la carga útil dentro de la aplicación infectada y, una vez que es instalada, los ciberdelincuentes “usan distintos métodos para descifrarla y ejecutarla”. La infección de Joker, por el contrario, suele producirse mediante descargadores de varias etapas, ya que, según Kaspersky, “reciben la carga útil de los servidores C&C de los estafadores”.
