Un método común que emplean los cibercriminales para perpetrar ataques es la creación de aplicaciones fraudulentas. Desarrollan programas que aparentan ser legítimos, con el fin de que las víctimas los descarguen e instalar, lo que les permite infectar sistemas, robar credenciales o tomar control del dispositivo. En esta ocasión, se trata de un programa PDF falso, que actúa como un troyano, permitiendo acceso no autorizado a un equipo.
Este hallazgo ha sido realizado por Expel Security, expertos en ciberseguridad y tecnología avanzada. Ellos han identificado una sofisticada campaña que utiliza software troyanizado con certificados de firma de código auténticos, lo cual complica la detección por parte de los antivirus. Si tienen éxito, los atacantes podrían transformar los dispositivos comprometidos en proxies y tomar control de ellos.
Programa PDF troyanizado
Según informan en su perfil de X en una publicación del 20 de agosto, han descubierto archivos con la firma “GLINT SOFTWARE SDN. BHD”, uno de los cuales se utiliza en un editor PDF. Esto permite convertir el dispositivo en un proxy residencial, lo que sin duda representa un grave problema. A la espera de un informe más detallado en su sitio web, puedes consultar el hilo que han creado en X.
? Un NUEVO troyano detectado por nuestro equipo de inteligencia de amenazas ?Hemos observado archivos con la firma de código “GLINT SOFTWARE SDN. BHD.” debido a un JavaScript que despliega “ManualFinder”.
Uno de sus archivos firmados, un editor PDF, convierte tu dispositivo en un proxy residencial—¡pésimo! ??
1/4 https://t.co/LWJZxx70ip20 de agosto, 2025 • 21:14
¿Qué implica que un dispositivo se convierta en un proxy residencial? Permiten el uso gratuito del editor de PDF, pero a cambio, están dando permiso para que, ocasionalmente, otros utilicen tu dirección IP para descargar datos de Internet. Aseguran que los datos personales no se expondrán, pero otros podrían navegar por la web como si fueras tú, utilizando tu IP.
Según los investigadores de seguridad, un aspecto clave es que emplean un dropper de JavaScript que facilita la instalación del troyano. Se implementa a través de mecanismos persistentes vinculados a OneStart Browser, una aplicación catalogada como PUP (Programa Potencialmente No Deseado) por firmas de seguridad como ESET y Malwarebytes desde 2024. Este software se caracteriza por utilizar técnicas de evasión, como el cambio constante de hashes de archivo, y por establecer tareas programadas en Windows para asegurar su reinstalación.
Está diseñado para ser persistente, de modo que permanezca activo incluso tras el reinicio del sistema. Es una tarea programada que ejecuta el archivo JavaScript desde el directorio temporal del usuario, aunque luego pueda residir en otros lugares. Cuando se activa, establece conexiones de comando y control con servidores manejados por los cibercriminales. Al explotar certificados de confianza, logran evitar ser detectados.
Una combinación de utilidad y malicia
Más allá de aparentar ser un editor PDF inofensivo, Expel Security también menciona otra aplicación, ManualFinder, que está diseñada para ayudar a encontrar manuales de productos, pero que además tiene la capacidad de infectar el dispositivo con un malware de doble propósito, como lo denominan, ya que ofrece utilidad pero también malicia.
Lo que mencionamos hace que sea más difícil de detectar. La víctima realmente cree que ha instalado un editor PDF gratuito o esta aplicación ManualFinder que podría ser útil. Sin embargo, además de funcionar correctamente, combina la utilidad con malicia, ejecutando software malicioso en el sistema.
Para los investigadores en ciberseguridad, esto es significativo. Muestra el abuso de la infraestructura de firma de código y la complejidad de rastrear y monitorear infecciones persistentes y de bajo perfil.
Recuerda que, al convertir tu dispositivo en un proxy, también te enfrentas a riesgos legales. Al transformar tu equipo en un proxy residencial, el usuario podría considerarse cómplice en actividades ilícitas realizadas desde su dirección IP, enfrentándose a responsabilidades legales conforme a normativas como el Artículo 197.1 del Código Penal español.
Recomendaciones para prevenir problemas
Para evitar situaciones de este tipo, es esencial mantener el sentido común. Aplicaciones maliciosas, como el editor PDF mencionado por Expel Security, suelen llegar a través de sitios de terceros que ofrecen software gratuito, pero que en realidad son cebos para infectar el dispositivo. En las guías y recursos de INCIBE, el Instituto Nacional de Ciberseguridad, se destaca la importancia de instalar siempre desde fuentes legítimas. Verificar la seguridad de un programa es fundamental.
Nuestra recomendación es que solo instales software de fuentes confiables. Asegúrate de acceder a la página oficial de ese programa y utilizar tiendas oficiales, como Google Play o App Store. Nunca instales software de terceros sin revisar previamente su origen.
Además, es crucial tener los dispositivos bien protegidos. Asegúrate de contar con las versiones más recientes para corregir cualquier vulnerabilidad existente. También deberías utilizar un antivirus que te ayude a detectar software malicioso.
Preguntas frecuentes
¿Cómo llegan las aplicaciones fraudulentas a un dispositivo?
Se pueden encontrar al navegar en páginas de terceros, así como a través de enlaces recibidos por correo electrónico o redes sociales. Suelen suplantar la identidad de programas conocidos y se promocionan como gratuitos.
¿Un antivirus me protege de aplicaciones fraudulentas?
Un antivirus puede ayudar a detectar malware presente en programas falsos, pero no siempre te protegerá. Es vital mantener el sentido común y evitar errores.
¿Pueden infectar tanto mi ordenador como mi móvil?
Sí, hay amenazas que afectan tanto a ordenadores como a dispositivos móviles. Ambos dispositivos deben ser protegidos adecuadamente.
