Investigadores de ciberseguridad están alertando sobre un cambio importante en el panorama del malware en Android: las aplicaciones tipo dropper, que antes se usaban principalmente para entregar troyanos bancarios, ahora también se utilizan para propagar malware más simple, como ladrones de SMS y spyware básico.

De acuerdo con un informe de ThreatFabric, estas campañas se difunden a través de aplicaciones dropper que se hacen pasar por apps gubernamentales o bancarias en India y otras regiones de Asia.

La firma holandesa de seguridad móvil señaló que esta evolución está motivada por las protecciones adicionales que Google ha implementado en mercados como Singapur, Tailandia, Brasil e India. Estas medidas bloquean la instalación de aplicaciones sospechosas que solicitan permisos de alto riesgo, como el acceso a mensajes SMS o los servicios de accesibilidad, funciones frecuentemente explotadas para realizar actividades maliciosas en dispositivos Android.

Según la empresa, las defensas de Google Play Protect —especialmente su programa piloto— están siendo cada vez más efectivas para detener aplicaciones peligrosas antes de que lleguen a ejecutarse. Por ello, los actores maliciosos están encapsulando cargas útiles incluso simples dentro de droppers, lo que les da una “capa de protección” que ayuda a evadir los controles actuales y les permite modificar fácilmente las campañas en el futuro.

No obstante, los atacantes siguen buscando formas de esquivar las medidas de seguridad. Algunas aplicaciones dropper se diseñan para no solicitar permisos de alto riesgo y mostrar únicamente una pantalla de “actualización” aparentemente inofensiva. Solo cuando el usuario presiona el botón “Actualizar”, se descarga la carga maliciosa desde un servidor externo y se solicitan los permisos necesarios para cumplir con sus objetivos.

Un ejemplo es RewardDropMiner, que además de distribuir spyware, incluía en versiones previas un minero de criptomonedas Monero activado de manera remota. Variantes recientes han eliminado esta funcionalidad, pero siguen propagándose en India bajo nombres falsos como:

• PM YOJANA 2025 (com.fluvdp.hrzmkgi)
• RTO Challan (com.epr.fnroyex)
• SBI Online (com.qmwownic.eqmff)
• Axis Card (com.tolqppj.yqmrlytfzrxa)

Otros droppers que han surgido son SecuriDropper, Zombinder, BrokewellDropper, HiddenCatDropper y TiramisuDropper, diseñados específicamente para evadir Google Play Protect y el programa piloto.

Google, por su parte, declaró a The Hacker News que no ha detectado estas aplicaciones en la Play Store y que continúa reforzando sus sistemas de protección:

“Independientemente de dónde provenga una app, incluso si es instalada mediante un dropper, Google Play Protect ayuda a mantener a los usuarios seguros al analizarla automáticamente en busca de amenazas”.

Campañas de malvertising y troyanos bancarios mejorados

Este fenómeno coincide con una advertencia de Bitdefender Labs, que identificó una campaña de malvertising en Facebook. Los atacantes distribuyen anuncios maliciosos ofreciendo una versión “premium gratuita” de la aplicación TradingView para Android, la cual en realidad instala una versión mejorada del troyano bancario Brokewell, diseñado para espiar, controlar y robar información sensible del dispositivo de la víctima.

Desde el 22 de julio de 2025 se han ejecutado al menos 75 anuncios maliciosos en Facebook, alcanzando a decenas de miles de usuarios en la Unión Europea. Esta ola de ataques contra Android forma parte de una operación más amplia de malvertising que también apunta a equipos con Windows, disfrazando malware como aplicaciones financieras y de criptomonedas.

Según Bitdefender:

“Esta campaña demuestra cómo los ciberdelincuentes afinan sus tácticas para adaptarse al comportamiento de los usuarios. Al enfocarse en móviles y disfrazar el malware como herramientas de confianza, buscan aprovechar la creciente dependencia de apps financieras y de criptomonedas”.

Fuente: https://thehackernews.com/2025/09/android-droppers-now-deliver-sms.html