Por Redacción

Ciudad de México, 27 de agosto de 2025. Google retiró de Play Store un lote de 77 aplicaciones maliciosas que, en conjunto, habían acumulado más de 19 millones de instalaciones. La campaña fue documentada por el equipo ThreatLabz de Zscaler y confirmada por BleepingComputer; aunque ya no están disponibles en la tienda, muchas siguen instaladas en dispositivos que no se han limpiado. Entre las familias detectadas están Joker (suscripciones premium sin permiso), Harly (variante de Joker) y el troyano bancario Anatsa/TeaBot, capaz de robar credenciales financieras.

Qué pasó exactamente

1. El hallazgo: Zscaler identificó 77 apps maliciosas y notificó a Google; la firma detalla que más del 66% eran adware y que Joker apareció en casi una cuarta parte del total. Google retiró las apps tras el reporte.
2. El volumen: en conjunto, las aplicaciones superaban 19 millones de descargas antes de su eliminación.
3. El anzuelo: varias se camuflaban como herramientas de productividad, personalización, fotografía o lectores de documentos, categorías populares que acumulan descargas rápidas.

Las amenazas principales (resumen verificable)

1. Joker / Harly: leen y envían SMS, pueden tomar capturas, hacer llamadas, acceder a contactos e info del dispositivo y suscribirte a servicios de pago sin consentimiento. Harly oculta mejor su carga maliciosa para evadir la revisión de la tienda.
2. Anatsa (TeaBot): orientado a apps bancarias y de criptomonedas; su versión más reciente amplió su alcance a 831 aplicaciones objetivo y añadió keylogger. Abusa Permisos de Accesibilidad para escalar privilegios y muestra pantallas de phishing que imitan apps financieras. En esta campaña, un señuelo fue “Document Reader – File Manager”, que descargaba el payload después de instalarse.

Por qué podrías seguir en riesgo aunque Google ya retiró las apps

Que una app desaparezca de Play Store no la desinstala de tu equipo. Zscaler y BleepingComputer subrayan que los operadores cambian nombres de paquete, hashes y técnicas (por ejemplo, cargar el código malicioso desde archivos JSON o usar APK malformados para romper el análisis estático), lo que complica su detección y favorece que sobrevivan en teléfonos donde ya se instalaron

Señales y categorías de riesgo

Los investigadores observan un auge en adware agresivo y “maskware” (apps que funcionan “normal”, pero roban datos en segundo plano). Las categorías más explotadas fueron herramientas y personalización, seguidas por entretenimiento, fotografía y diseño. Recomendación: cautela extra con “limpiadores”, “lectores de PDF”, “gestores de archivos”, linternas y editores rápidos.

Cómo verificar si estás afectado (paso a paso con fuentes oficiales)

1. Activa/valida Play Protect: Play Store → Perfil → Play Protect → Configuración → Analizar apps con Play Protect (debe estar activado). Play Protect escanea periódicamente y puede desinstalar o deshabilitar apps dañinas y avisarte si una app fue retirada por ser riesgosa.
2. Revisa permisos de Accesibilidad: si un “lector de documentos”, “PDF viewer” o “gestor de archivos” pide Accesibilidad, desconfía y revoca el permiso; este es el vector que Anatsa usa para ganar control. (Android y los reportes técnicos advierten del abuso de este permiso).
3. Busca apps señuelo que descargan código: ejemplo documentado en esta campaña, “Document Reader – File Manager”. Si la tienes, desinstala y cambia contraseñas (sobre todo bancarias) y avisa a tu banco si usaste apps financieras.
4. Mantén la protección: Google ha fortalecido Play Protect (revocación automática de permisos en apps potencialmente dañinas, bloqueos en contextos de estafa telefónica, etc.). Asegúrate de no desactivar estas defensas.