77 apps maliciosas expulsadas de Google Play: Joker, Harly y Anatsa, bajo la lupa

  • Google retiró 77 apps maliciosas de Play con más de 19 millones de descargas.
  • Joker y Harly suscriben a pagos premium; Anatsa apunta a más de 831 apps financieras.
  • Las campañas usan archivos JSON, APK malformados y permisos de accesibilidad.
  • Play Protect bloquea variantes conocidas, pero hay que desinstalar manualmente las apps.
Alberto Navarro

4 minutos

Apps maliciosas en Google Play

Google ha retirado de su tienda un lote de 77 aplicaciones maliciosas que, antes de ser detectadas, sumaron más de 19 millones de descargas a nivel global. Eran utilidades aparentemente inocuas —lectores de documentos, gestores de archivos o apps de personalización— que escondían código con fines claramente dañinos.

El hallazgo fue atribuido a los analistas de Zscaler ThreatLabz, cuyo aviso permitió la limpieza en la tienda. Aunque ya no están disponibles en Play, el peligro no desaparece por arte de magia: si aún conservas alguna instalada, sigue activa hasta que la borres manualmente.

Qué ha pasado en Google Play

La investigación describe una campaña amplia: más del 66% de las apps incluían adware para inundar el móvil con anuncios intrusivos, y casi una cuarta parte escondía el conocido malware Joker, experto en colar suscripciones premium sin permiso. También se detectó maskware, aplicaciones con apariencia legítima que robaban credenciales en segundo plano.

Uno de los cebos más repetidos fue Document Reader – File Manager, que funcionaba como gancho para descargar la carga maliciosa tras la instalación. En paralelo, los operadores perfeccionaron sus técnicas: módulos ocultos servidos como archivos JSON temporales para activar el malware en el dispositivo y eliminar huellas después.

El foco principal estuvo en Anatsa (TeaBot), un troyano bancario que ha evolucionado con rapidez. Su última hornada amplía el radio de acción y ya apunta a más de 831 aplicaciones de banca y criptomonedas, usando superposiciones que imitan pantallas legítimas, registro de pulsaciones y robo de credenciales.

Por su parte, Joker y su variante Harly vuelven al escaparate: interceptan SMS, realizan llamadas, acceden a contactos y pueden dar de alta a la víctima en servicios de pago sin consentimiento. Todo ello camuflado en apps útiles para ganarse la confianza y acumular instalaciones a gran velocidad.

Seguridad Android en Google Play

Anatsa y el resto de familias: técnicas y alcance

En esta oleada, los actores detrás de Anatsa han introducido cambios para burlar los controles automáticos: desde descargar componentes en JSON efímeros que luego desaparecen, hasta usar APK malformados y cifrado dinámico para mantener oculto el código hasta el último momento.

El troyano también integra detección de emuladores y entornos de pruebas, de modo que evita ejecutar la carga en sistemas de análisis. Cuando logra entrar, abusa de los permisos de accesibilidad para otorgarse privilegios, superponer pantallas de phishing creíbles y tomar el control de acciones sensibles.

Se repite un patrón ya conocido: aplicaciones con una función real que inspiran confianza, millones de descargas y, después, la retirada al descubrirse la trampa. El daño, sin embargo, puede estar hecho, con acceso a cuentas bancarias y fraudes que afectan a usuarios de múltiples países.

Malware bancario en Android

La respuesta de Google y cómo protegerte

Google confirma que ha eliminado todas las apps señaladas y que Play Protect bloquea las variantes conocidas. Eso sí, hay un punto clave: si la aplicación sigue instalada, no se desactiva sola. Conviene revisar las apps añadidas recientemente —sobre todo lectores de PDF, gestores de archivos y utilidades de personalización— y desinstalar lo sospechoso.

Además de la limpieza, la compañía impulsa medidas adicionales para elevar el listón a los actores maliciosos, como exigir cuentas de desarrollador verificadas vinculadas a instalaciones en dispositivos Android certificados. La meta es complicar la vida a quienes suben software dañino con identidades falsas, un frente que complementa los controles de Play.

Si sospechas de infección, actúa sin demora: Si sospechas de infección: desinstala la app, cambia contraseñas críticas (en especial banca y correo), activa la verificación en dos pasos y consulta con tu entidad financiera por si hiciera falta bloquear operaciones o revocar accesos.

  • Mantén Google Play Protect activado y actualizado.

  • Instala solo desde desarrolladores conocidos y con buenas valoraciones.

  • Revisa y limita los permisos solicitados, especialmente accesibilidad.

Protección frente a apps maliciosas

El episodio deja una lección clara: incluso con controles reforzados, las apps maliciosas pueden llegar a Google Play si se camuflan bien. La combinación de vigilancia por parte de la tienda y prudencia del usuario —instalar con cabeza, revisar permisos y desinstalar a tiempo— es hoy por hoy la manera más efectiva de reducir el riesgo en el móvil.

Advertencia de fraude móvil
Artículo relacionado:
Apps fraudulentas en Android: cómo detectarlas, evitarlas y eliminarlas para proteger tu privacidad y seguridad