19 millones de descargas y un peligroso malware en su interior: la app para Android que Google acaba de retirar de Play Store

La tienda oficial de aplicaciones de Google se ha visto obligada a eliminar decenas de apps que acumulaban millones de descargas en todo el mundo. Entre ellas, una en concreto llamó la atención de los investigadores, puesto que se presentaba como un inocente gestor de documentos, pero escondía un sofisticado troyano bancario capaz de robar credenciales y datos personales. Hablamos de Document Reader - File Manager.

En total, las apps maliciosas superaban los 19 millones de instalaciones, por lo que hablamos de un agujero masivo de seguridad. Aunque ya no están disponibles en Google Play, el riesgo permanece para quienes todavía las tengan instaladas en sus dispositivos. Por ello, los expertos recomiendan revisar el móvil y actuar con rapidez para evitar consecuencias económicas y de seguridad.

El malware que burló a Google

La investigación de Zscaler ThreatLabs destapó la presencia de 77 aplicaciones dañinas en la plataforma. Más de la mitad contenían adware, mientras que un buen número integraba el conocido malware Joker, diseñado para acceder a SMS, contactos e incluso suscribir a la víctima a servicios de pago sin autorización.

No obstante, el caso más grave estaba vinculado a una app llamada Document Reader – File Manager. Aparentaba ser una herramienta legítima para leer documentos, pero descargaba de manera oculta el troyano Anatsa, también conocido como TeaBot. Este malware bancario ha ido perfeccionándose en los últimos años y ahora resulta capaz de atacar a más de 831 aplicaciones financieras y de criptomonedas en distintos países.

Su funcionamiento es especialmente peligroso porque se apoya en los permisos de accesibilidad del sistema. Una vez concedidos, obtiene control casi total del dispositivo: puede registrar pulsaciones de teclado, interceptar datos confidenciales y desplegar pantallas de phishing idénticas a las originales para engañar al usuario. Todo esto mientras la aplicación principal sigue funcionando, lo que dificulta sospechar de su verdadero comportamiento.

De hecho, uno de los aspectos que más preocupa a los analistas es la capacidad de evoluciónde Anatsa. En lugar de utilizar métodos clásicos, ahora descarga su carga maliciosa a través de archivos JSON temporales, que después elimina para no dejar rastro. Además, incorpora mecanismos para detectar si se ejecuta en entornos de prueba o emuladores, lo que complica el trabajo de los sistemas automáticos de Google.

También recurre a APKs malformados y a cifrado dinámico, lo que le permite ocultar gran parte de su código malicioso hasta que el dispositivo ya está comprometido. Con estas técnicas, el troyano consigue pasar por los filtros de seguridad sin problemas.

Cómo estar seguro

Google ha eliminado todas las aplicaciones señaladas de Play Store, pero quienes las tengan instaladas siguen estando en riesgo. No existe una lista pública de las apps maliciosas, por lo que la primera medida recomendada es desinstalar de inmediato cualquier app sospechosa, especialmente las que prometen funciones de gestor de archivos o personalización sin ser de desarrolladores reconocidos.

Además, conviene comprobar que Google Play Protect esté activado, revisar de forma crítica los permisos que solicitan las aplicaciones y prestar atención a las reseñas y valoraciones de otros usuarios antes de instalar nada. En caso de detectar accesos extraños a cuentas bancarias o servicios online, lo aconsejable es contactar con la entidad financiera para proteger las credenciales comprometidas.