Una nueva campaña de malware distribuida a través de varios cientos de aplicaciones que estaban disponibles en Google Play Store ha sido descubierta por el laboratorio de amenazas IAS. Llamada Vapor, inicialmente implicaba a 180 aplicaciones que Bitdefender elevó posteriormente a 331 que o bien funcionaban como adware o intentaban robar credenciales e información de tarjetas de crédito del usuario.

Las 331 aplicaciones maliciosas ya han sido eliminadas de la tienda de Google, pero existe el riesgo de que Vapor vuelva a aparecer a través de otras, ya que los ciberdelincuentes han demostrado su capacidad para eludir el proceso de revisión de Google.

Estas apps se presentaban como herramientas para el seguimiento de la salud y el estado físico, de toma de notas y diarios, optimizadores de batería y escáneres de códigos QR, entre otras. Consiguieron superar las revisiones de seguridad de Google porque incluyen la funcionalidad anunciada y no contienen componentes maliciosos en el momento de la presentación. Sin embargo, la funcionalidad maliciosa se descarga posteriormente a través de actualizaciones enviadas desde un servidor de mando y control.

'Las aplicaciones muestran anuncios fuera de contexto e incluso intentan persuadir a las víctimas para que entreguen credenciales e información de tarjetas de crédito mediante ataques de phishing', advierte Bitdefender. El mayor número de infecciones se ha reportado en Brasil, Estados Unidos, México, Turquía y Corea del Sur.

Las apps Vapor más descargadas

La lista completa con las aplicaciones Vapor puede consultarse aquí. Las que destacan Bitdefender e IAS en sus informes son:

• AquaTracker – 1 millón de descargas.
• ClickSave Downloader – 1 millón de descargas.
• Scan Hawk – 1 millón de descargas.
• Water Time Tracker – 1 millón de descargas.
• Be More – 1 millón de descargas.
• BeatWatch – 500.000 descargas.
• TranslateScan – 100.000 descargas.
• Handset Locator – 50.000 descargas.

Las aplicaciones se subieron a Google Play usando varias cuentas de desarrolladores, cada una detrás de solo unas pocas para reducir el riesgo en caso de ser eliminadas. Además, cada editor utiliza un SDK de anuncios diferente. La mayoría de las aplicaciones Vapor fueron publicadas en Google Play entre octubre de 2024 y enero de 2025, aunque algunas continuaron subiéndose hasta marzo.

Cómo engañan a Android las aplicaciones Vapor

Las aplicaciones Vapor desactivan su Launcher Activity, la actividad principal de una aplicación que se abre al tocar el ícono y que se define en el archivo AndroidManifest.xml, después de la instalación, lo que las hace invisibles. En algunos casos, cambian su nombre en la configuración para parecer aplicaciones legítimas. Por ejemplo, por Google Voice.

Después, se ejecutan sin interacción del usuario y utilizan código nativo para habilitar un componente secundario oculto mientras mantienen el lanzador desactivado para que su ícono permanezca invisible.

Bitdefender señala que este método elude las protecciones de seguridad de Android 13 y posteriores que impiden que las aplicaciones deshabiliten sus propias actividades de lanzador una vez activas.

El malware también evita las restricciones de permisos SYSTEM_ALERT_WINDOW en Android 13 y posteriores y crea una 'pantalla secundaria' que se superpone a la del usuario en pantalla completa. Los anuncios se muestran en esta pantalla, superpuestos a todas las demás aplicaciones, dejando al usuario sin opción de salir, ya que el botón de retroceso está deshabilitado.

Según IAS, cuyo informe comprende solo una parte de las apps maliciosas, con este método han logrado generar más de 200 millones de peticiones publicitarias fraudulentas.

Robo de credenciales

Algunas aplicaciones van más allá del fraude publicitario, mostrando pantallas de inicio de sesión falsas de Facebook y YouTube para robar credenciales o solicitando información de tarjetas de crédito bajo diversos pretextos.

Bitdefender recomienda a los usuarios de Android evitar la instalación de aplicaciones innecesarias de editores no confiables, revisar cuidadosamente los permisos otorgados y comparar el cajón de aplicaciones con la lista de aplicaciones instaladas desde Configuración > Aplicaciones > Ver todas las aplicaciones.

Si descubres que tienes instalada alguna de estas aplicaciones, elimínala de inmediato y realiza un análisis completo del sistema con Google Play Protect u otras soluciones de antivirus para móviles.