Cuidado si tienes esta app en tu móvil: es un virus que se ha instalado 421 millones de veces

Un movimiento tan aparentemente inocente como descargar un juego puede acabar metiendo un virus espía. Es lo que acaban de revelar investigadores de la firma de ciberseguridad Dr.Web, que han descubierto un malware que lleva tiempo pululando en Google Play, la tienda oficial de aplicaciones de los sistemas operativos Android. Su nombre es SpinOk y es capaz de robarte casi todo lo que tienes en el móvil, desde contraseñas a fotos, pasando por datos personales o criptomonedas. Pero eso es solo una parte del asunto. La otra está en que ya se han detectado un centenar de apps con este componente y, en total, se han descargado 421 millones de veces.

Como ocurre con cualquier troyano, SpinOk no da ni una sola muestra de sospecha hasta que es demasiado tarde. Es decir, cuando ya ha conseguido robar la información del usuario. "Aparentemente, está diseñado para mantener el interés de los usuarios en las aplicaciones, ya que se trata de juegos, apps de utilidades o supuestos premios y sorteos", explican los investigadores en su informe.

TE PUEDE INTERESAR

Este virus está atacando a los bancos españoles y se cuela a través de tu móvil

Mario Escribano

El problema está en lo que ocurre en segundo plano. En realidad, SpinOk lleva consigo un kit de desarrollo de software (SDK, por sus siglas en inglés) que permite que la aplicación se conecte a un servidor remoto y cargue una lista de enlaces que abren una serie de banners publicitarios. Mientras eso ocurre, el malware está ejecutando sus funciones ocultas, que suponen un control de buena parte del teléfono.

Una de las actividades más peligrosas que puede llevar a cabo es la exfiltración; es decir, la búsqueda de archivos específicos en el dispositivo y su posterior envío al servidor remotos. Es algo que supone abrir las puertas de par en par a las fotos, vídeos o documentos que tengas guardados. Además, también puede sustituir a su antojo lo que has copiado en el portapapeles –algo muy útil para, por ejemplo, el robo de contraseñas o criptomonedas– o enviar archivos por su cuenta.

Las aplicaciones en las que está presente son de todo tipo, aunque las dos más descargadas son el editor de vídeo Noizz y la app de transferencia de archivos Zapya. En ambos casos, habían sido instaladas en 100 millones de dispositivos. Después, con 50 millones, hay otros tres editores (VFly, MVBit y Biugo). Otras de las aplicaciones señaladas son Crazy Drop, Cashzine, Fizzo Novel, CashEM o Tick. La lista completa se puede consultar aquí.

Según han explicado en Dr. Web, solo una de estas aplicaciones sigue disponible en la tienda de Android, ya que Google las habría eliminado –los investigadores les avisaron antes de publicar sus resultados– temporalmente, hasta que los desarrolladores consigan limpiar su código de SpinOk. Además, el troyano cuenta con un detector que comprueba que los sensores del dispositivo –como pueden ser el giroscopio o el magnetómetro– no están siendo ejecutados en un entorno de pruebas, como suele ocurrir cuando un investigador utiliza aplicaciones maliciosas, algo que ha dificultado el hallazgo.

No obstante, aún no está claro si los propios desarrolladores habían incluido el troyano en algunos casos o si, por el contrario, este había sido incluido por un tercero sin que se dieran cuenta, que es lo más habitual. Sea como sea, se recomienda actualizar estas aplicaciones a la última versión disponible en Google Play. Si no está ahí, lo mejor que puedes hacer es desinstalarla y escanear el dispositivo con una herramienta de antivirus que limpie todo rastro de SpinOk.