Apps fraudulentas en Android y cómo consiguen engañar a los usuarios

A pesar de los esfuerzos y mejoras que Google sigue implementando en su tienda oficial de aplicaciones Google Play, todavía son muchos los usuarios que descargan aplicaciones fraudulentas que terminan haciéndoles perder el tiempo o incluso ocasionándoles gastos no previstos.

Hace unas semanas repasábamos algunas de las técnicas más utilizadas por estas aplicaciones fraudulentas para lograr que miles de usuarios las descargasen, y hoy, gracias a las investigaciones de nuestro compañero Lukas Stefanko (investigador de ESET especializado en el análisis de amenazas para Android), podemos ampliar esta información con nuevas técnicas detectadas en las últimas semanas.

Canales de chat “calientes”

Una de las estrategias que ha funcionado durante años en todo tipo de estafas y ataques son las que se aprovechan del interés de los usuarios por encontrar pareja o, simplemente, pasar un buen rato con alguien de buen ver. Estafas por correo electrónico donde lindas señoritas rusas o fornidos militares viudos en el extranjero se nos declaraban y prometían venir a visitarnos a cambio de una cantidad de dinero, e incluso bots en aplicaciones de ligue son solo algunos de los ejemplos que hemos visto a lo largo de los últimos años.

Los desarrolladores de aplicaciones fraudulentas intentan que su apps no levanten sospechas entre los usuarios que están a punto de descargarlas. Es por eso que intentan conseguir un elevado número de descargas y valoraciones positivas para que sirvan de referente ante los futuros incautos que vayan a descargar la app.

Información de la aplicación en Google Play – Fuente: Lukas Stefanko

Si nos fijamos en la información proporcionada por esta aplicación vemos como tiene más de un millón de instalaciones y más de 20.000 valoraciones de usuarios, con una puntuación media de 4 estrellas sobre 5. Esto puede llevar a confusión a la mayoría de usuarios pensando que se trata de una aplicación legítima, y a que la instalen en sus dispositivos para empezar a chatear con supuestas usuarias de la misma aplicación.

Sin embargo, las investigaciones de nuestro compañero Stefanko han demostrado que los 62 perfiles de las señoritas que se incluyen en la aplicación son solo bots programados para responder de forma automática (muchas veces sin mucho sentido). Además, las imágenes de las señoritas son descargadas de Internet usando Google Image Search, y para poder seguir chateando con ellas es necesario ganar “puntos de corazón”, puntos que se obtienen visualizando anuncios.

Configuración de los bots y ejemplo de respuestas automatizadas – Fuente: Lukas Stefanko

Como vemos en las imágenes, no tiene mucho sentido mantener conversaciones insustanciales con bots, menos aun si para hacerlo hemos de perder nuestro tiempo visualizando anuncios. Estas visualizaciones reportan interesantes beneficios a los desarrolladores de este tipo de apps y es una de las formas de monetización preferidas, aunque pueden ser complementadas por tácticas más agresivas como vamos a ver a continuación.

Aplicaciones para niños con gato encerrado

Otro de los casos analizados recientemente por nuestro compañero Stefanko tiene que ver con una aplicación orientada a los más pequeños de la casa. Este tipo de aplicaciones, junto con los vídeos que se pueden visualizar en plataformas como Youtube, son de las aplicaciones más apreciadas por los padres porque permiten mantener entretenido a los niños durante largos periodos de tiempo, algo útil cuando, por ejemplo, se sale a cenar fuera de casa, pero que a la larga puede ocasionar serios problemas.

Si revisamos algunos puntos clave en la página de información sobre la aplicación, veremos que se repiten algunos puntos vistos en el caso anterior. Esta app también tiene más de un millón de descargas y una valoración mayormente positiva de más de 18.000 supuestos usuarios que la han descargado previamente. Esto puede hacer que los padres que quieran instalar esta aplicación se confíen y lo hagan sin revisar los permisos que solicita.

Información de la aplicación en Google Play – Fuente: Lukas Stefanko

Esta aplicación también obtiene ingresos con la visualización de anuncios por parte del usuario, y no tendríamos nada que objetar al respecto si no fuera porque sus desarrolladores han incluido la posibilidad de pagar para eliminar estos anuncios. Esto tampoco sería peligrosos si no fuera porque, cada cierto tiempo, se muestra una ventana que invita a pagar para eliminar los anuncios y, además, esta ventana se superpone a la propia aplicación.

Mensaje superpuesto a la aplicación solicitando el pago para eliminar anuncios – Fuente: Lukas Stefanko

Si tenemos en cuenta que lo más probable es que esta aplicación la esté utilizando un niño de temprana edad, la posibilidad de que se pulse el botón que autoriza el pago es muy elevada. Por supuesto, el pago solo se hará efectivo si el usuario de ese dispositivo tiene asociada una tarjeta de crédito en su cuenta de Google Play, algo que tampoco es tan infrecuente.

Conclusión

Tal y como acabamos de comprobar, las técnicas que ingenian algunos desarrolladores de aplicaciones son bastante ingeniosas y pueden llegar a tener bastante éxito. Consejos como fijarse en el número de usuarios que han descargado la aplicación o la puntuación otorgada no funcionan en estos casos y eso es algo a tener muy en cuenta, puesto que muchos usuarios solo se fijan en esos puntos y no tanto en los permisos otorgados o si la aplicación incluye pagos dentro de la misma.

Por eso, antes de descargar una app, fijémonos también en los comentarios más recientes de otros usuarios, revisemos a fondo los permisos y, especialmente, si esa aplicación va a ser utilizada por un niño, dediquemos algo de tiempo a verificar que funciona correctamente y que no muestra contenido inadecuado o solicita cargos imprevistos.

Josep Albors

Phishing suplantando a Apple intenta robar tus datos personales