Las app robaron dinero de los usuarios suscribiéndolos a servicios sin su consentimiento.

Por Thomas Brewster

Hasta 200 aplicaciones de Android fraudulentas llegaron a la tienda Google Play y robaron el dinero de los usuarios al suscribirlos a servicios premium sin su consentimiento, advirtieron expertos en ciberseguridad el miércoles.

Investigadores de la empresa de ciberseguridad Zimperium afirmaron que alrededor de 10 millones de teléfonos Android probablemente estaban infectados, lo que les dio a los delincuentes millones en ganancias antes de que Google los echara de la Play Store.

Etiquetada como “GriftHorse” por Zimperium en un informe publicado el miércoles, la campaña de ciberdelincuentes maliciosos comenzó a construir sus aplicaciones en noviembre de 2020. Los piratas informáticos habían realizado importantes esfuerzos para garantizar el éxito.

Para atrapar a sus víctimas, las aplicaciones bombardeaban al usuario con ventanas emergentes, diciendo que la víctima había ganado un premio y necesitaba reclamarlo de inmediato.

También eran persistentes: las ventanas emergentes reaparecían cinco veces por hora hasta que se aceptaba la oferta.

Si se aceptaba, el usuario era redirigido a una página web, cuyo idioma cambiaba según la ubicación geográfica de la dirección IP del usuario de la aplicación.

La página web les pedía su número de teléfono para reclamar el premio, pero en lugar de ganar algo, los suscribía a un servicio de SMS premium, que les costaba US$ 40 por mes.

Las aplicaciones fraudulentas se presentaron en muchas formas. Incluían un juego de conducción falso de Forza, una aplicación de traducción, un monitor de frecuencia cardíaca y una herramienta de horóscopo. Una aplicación, llamada Handy Translator Pro, tuvo entre 500,000 y un millón de descargas antes de ser eliminada de Google Play.

Incluso había una aplicación Soul Scanner, comercializada como un “radar para buscar actividad espiritual paranormal”. El número total de descargas, basado solo en las estadísticas de Google Play, podría haber estado entre 4,3 millones y 17,3 millones de smartphones, dijo Zimperium.

Aunque Google eliminó las aplicaciones ofensivas de su tienda, permanecen activas en otros mercados de aplicaciones de terceros. Fueron capaces de evadir la detección durante meses al dificultar que las empresas de seguridad detectaran y analizaran las aplicaciones maliciosas. Por ejemplo, cambiaron los servidores web utilizados para controlar el malware en lugar de quedarse en los mismos dominios, según Zimperium.

Las víctimas hasta la fecha se encuentran en todo el mundo. “Si bien la mayoría de las víctimas se encuentran en los países europeos, el hecho de que los actores maliciosos usaran Google Play como una gran fuente de distribución dio a todas las aplicaciones maliciosas un alcance global”, dijo Shridhar Mittal, CEO de Zimperium.

“Desde Australia hasta Rusia y desde Sudáfrica hasta los Estados Unidos, los usuarios de dispositivos móviles de todo el mundo han sido robados a través de esta nueva campaña”.

Aunque no todos habrían entregado su número a los estafadores, los expertos aseguran que al ataque fue un éxito para los cibercriminales. “Incluso si un porcentaje muy pequeño del total de usuarios infectados se convertían en víctimas, las ganancias a largo plazo son de millones de euros para los actores maliciosos”, agregó Mittal.

Google dijo haber eliminado y bloqueado a todos los desarrolladores relevantes, así como también sus aplicaciones.