¡Elige bien! Los servidores VPN se convierten en efectivos portadores de malware para Android según nueva investigación

La presencia de malware en sistemas operativos Android ha sido un problema recurrente, casi omnipresente a pesar de los mejores esfuerzos de Google por contrarrestar la propagación de software maliciosos. En una nueva ola de infecciones, una investigación por parte de la firma de ciberseguridad ESET reveló que el infame grupo de hackers, conocido como Bahamut APT, ha encontrado una nueva forma de propagar malware a móviles Android: Aplicaciones de VPN.

El grupo Bahamut ATP funge como una organización de cibermercenarios que trabaja bajo contratación con el fin de propagar ataque de phishing a través de spyware. De acuerdo a la investigación de ESET, al menos ocho versiones de spyware Bahamut han sido descubiertas en versiones infectadas de las populares aplicaciones de Android SoftVPN y OpenVPN, comprometidas a través del uso de antiguos códigos de spyware reutilizados.

Los VPN se utilizan para portar malware de Android en la PlayStore

Uno de los ataques más recientemente detectados, perpetrado por el grupo de cibermercenarios Bahamut APT, involucra aplicaciones de VPN para dispositivos Android, en lo que sería un ataque bastante básico sobre la privacidad de los usuarios, que puede devenir en severas filtraciones de información.

Las aplicaciones VPN infectadas con spyware de Bahamut APT están diseñadas para acceder a los mensajes de texto, registros de llamadas, ubicación, grabaciones de llamadas e incluso ciertas apps de mensajería instantánea como Whatsapp. No limitado a esto, puede también acceder y extraer información de acceso a las aplicaciones de bancos por medio de un key logger.

Una versión falsificada del sitio web de SecureVPN fue el punto de guía utilizado para redirigir a los usuarios a las aplicaciones infectadas, ya que nunca estuvieron en las listas de descarga de la Play Store. Estas aplicaciones de VPN parecen estar dirigidas a un sector en específico, centrándose en usuarios que acceden al sitio web falso con una llave de activación específica, característica que no requiera la versión real de la web.

Read our ultimate #VPN guide to discover how they can help you protect your #privacy. https://t.co/7Gj2PYXWbJ

— AVGFree (@AVGFree) July 25, 2022

Los resultados de la investigación realizada por ESET son sólo otro recordatorio para los usuarios de dispositivos Android para evitar la descarga de aplicaciones de fuentes desconocidas y poco confiables en internet. La mejor opción para obtener las aplicaciones de VPN que puedas necesitar sigue siendo la Play Store, puesto que la campaña de propagación de estas apps falsas, iniciada en enero de 2022, sigue muy activa y cobrando nuevas víctimas cada día.

¡Cuidado con lo que instalas! Así puedes identificar un VPN fraudulento

Las aplicaciones maliciosas de VPN que simulan ser una app legítima no son fáciles de distinguir si ya las has instalado en tu dispositivo, y las más efectivas son capaces de robar tu información en todo momento antes de que te des cuenta. Por ello, es necesario estar atentos a las muchas señales que pueden delatar a una app fraudulenta antes de instalarla.

Para empezar, y específicamente en el caso de las apps infectadas por Bahamut APT, estas solo podrás obtenerlas por medio de un sitio web falsificado que finge ser la plataforma web de una app de VPN confiable, e ingresando una llave de activación enviada por algún otro medio a las víctimas. Esta es la principal diferencia con las apps legítimas, puesto que las aplicaciones de VPN no requieren ninguna llave de activación para poder descargarlas.

La mejor forma de prevenir el potencial spyware en tu móvil, es analizar cualquier APK que obtengas a través de páginas como VirusTotal para detectar cualquier malware contenido en el archivo de instalación, y asegurándose de mantener la descarga de aplicaciones centrada en fuentes confiables, evitando tiendas de aplicaciones alternativas y utilizando los filtros de seguridad de Google.