Con la ingente cantidad de aplicaciones existentes en mercados como Google Play, es normal que los delincuentes intenten aprovecharse de usuarios desprevenidos para intentar colarles alguna aplicación fraudulenta. En los últimos años hemos visto que se han utilizado todo tipo de técnicas, pero, como en muchas otras situaciones, las más sencillas también pueden resultar las más efectivas.
Repasando los conceptos básicos
“¿En qué debo fijarme para asegurarme de instalar una aplicación legítima?” es una de las preguntas que muchos usuarios se hacen cuando desean descargar una app en sus dispositivos. La oferta es tan grande que debemos tener en cuenta algunos puntos clave para asegurarnos de estar descargando la app correcta, y no una que quiere aprovecharse del éxito ajeno y que podría terminar infectando nuestro dispositivo.
Vamos a ver un ejemplo práctico para repasar aquellos puntos que debemos tener en cuenta. Imaginémonos por un momento que estamos estudiando algún idioma y queremos utilizar una app para reforzar el aprendizaje. Si hacemos una busqueda por Google Play veremos que la oferta es amplia y variada, y, en un primer vistazo, la mayoría de usuarios se fijarán en aquellas con la mayor puntuación, que estén lo más arriba posible y, si puede ser, que tengan algún distintivo que las haga destacar.
Encontramos una que cumple con todos estos requisitos, como es la aplicación Memrise, ya que se encuentra entre los primeros resultados al realizar una búsqueda con la palabra “Idiomas”, tiene una puntuación de casi 5 estrellas y además cuenta con un distintivo en su logo que menciona su reconocimiento como “Mejor App 2017”.
Cuando accedemos a la página de la aplicación dentro de Google Play vemos que se nos muestra información adicional que puede sernos muy útil para confirmar que estamos ante la aplicación que buscamos o que se trata de un fraude. Lo primero que se suele mirar es la puntuación (prácticamente 5 estrellas en este caso) y el número de usuarios que la han puntuado. Este aspecto es importante, puesto que se puede tener una puntuación elevada con pocos votos y esto los delincuentes lo saben y lo explotan.
En el caso de esta aplicación nos encontramos con un detalle adicional que no suele estar presente, y es que esta app ha sido seleccionada por los editores, lo que nos debería dar un poco más de confianza y tranquilidad para descargarla.
Otro punto clave a la hora de comprobar la legitimidad de una app es el número de usuarios que la ha descargado. Si bien se han visto casos de aplicaciones fraudulentas con un elevado número de descargas, esto no suele ser lo habitual, puesto que las apps maliciosas suelen durar poco tiempo en la tienda oficial de Google (gracias a los esfuerzos que la empresa ha realizado en los últimos años para mejorar la seguridad de su tienda de aplicaciones).
Así pues, veamos cuántos usuarios se han descargado esta aplicación antes que nosotros.
Más de 10 millones es una cantidad lo bastante considerable como para confiar en la legitimidad de la aplicación, pero también es importante que verifiquemos aspectos como el desarrollador de la app, si contiene pagos integrados o incluso leernos la política de privacidad.
Un aspecto fundamental a revisar, aun tratándose de aplicaciones legítimas, son los permisos que vamos a concederle a la aplicación que queremos instalar. Estos permisos pueden revisarse antes y durante la aplicación, e incluso podemos revocar algunos a posteriori una vez la aplicación ya ha sido instalada.
Debemos tener en cuenta que aunque haya permisos que nos parecerá lógico que pidan aplicaciones como esta, es muy probable que la mayoría de las veces nos encontremos con dudas. En estos casos lo mejor es usar el sentido común y buscar información de otros usuarios que ya la tengan instalada, empezando por los comentarios que se pueden leer en la página de la aplicación dentro de Google Play, aunque el ejemplo de la app de linterna que quiere acceder a nuestros contactos sigue siendo igual de válido actualmente.
Teniendo estos puntos en cuenta, lo más seguro es que hayamos instalado una aplicación legítima y podamos empezar a disfrutarla sin mayores problemas. Sin embargo, vamos a revisar las técnicas que utilizan algunos delincuentes para intentar confundirnos y conseguir que instalemos sus aplicaciones fraudulentas.
Engaños simples pero efectivos
Una vez hemos repasado los puntos clave a tener en cuenta a la hora de instalar aplicaciones en nuestros dispositivos para que no nos den gato por liebre, vamos a ver qué hacen los delincuentes para intentar engañar a los usuarios menos precavidos. Para ello, vamos a utilizar como ejemplo varias aplicaciones fraudulentas detectadas recientemente por nuestro compañero y analista de malware en ESET Lukas Stefanko.
La primera tanda de aplicaciones se aprovecha de tres aspectos clave como son el ofrecer una aplicación gratuita, el uso de logos y nombres que recuerdan a aplicaciones muy conocidas y, sobre todo, que el nombre del desarrollador se ha sustituido por una cantidad que quiere confundir al usuario con el número de descargas.
Apps subidas con un falso número de instalaciones en lugar del nombre del desarrollador – Fuente: WeLiveSecurity
En algunos casos concretos, nuestro compañero Lukas Stefanko llegó a observar que un desarrollador utilizaba esta técnica para aumentar la popularidad y descargas de aplicaciones de reciente creación, cambiando poco tiempo después el número falso de instalaciones por su nombre de desarrollador.
Aplicaciones del mismo desarrollador que primero utilizaron una cantidad falsa de instalaciones y luego cambiaron al nombre del desarrollador – Fuente: WeLiveSecurity
Por si fuera poco, algunos desarrolladores sin escrúpulos añaden una capa adicional de engaño en forma de símbolo de verificación a sus aplicaciones. De esta forma, muchos usuarios pueden pensar que se trata de aplicaciones legítimas, verificadas o de desarrolladores de confianza. Debemos recordar que, actualmente, Google Play no otorga este tipo de verificaciones, y lo único que podemos observar en algunas aplicaciones concretas como la que hemos analizado al principio de este artículo es un distintivo que indica que la app ha sido seleccionada por un grupo de editores como destacada.
Aplicaciones con distintivos falsos de verificación para aparentar mayor legitimidad – Fuente: WeLiveSecurity
Conclusión
Acabamos de ver cómo unos sencillos trucos sirven para confundir a muchos usuarios que están buscando aplicaciones para instalar desde Google Play. La mayoría de estas apps fraudulentas tienen como objetivo a esos usuarios que solo se utilizan el número de descargas como referencia, algo que debe siempre verificarse junto a otros puntos clave como los que hemos descrito en este artículo.
Merece la pena perder un poco de tiempo asegurándonos de que vamos a descargar la aplicación correcta y que esta hace lo que se supone que debe hacer. De esta forma, nos evitaremos más de una sorpresa desagradable y podremos utilizar estas aplicaciones con tranquilidad.