El fraude de facturación es una de las fuentes de ingresos más comunes para los ciberdelincuentes. Actualmente, hay una serie de troyanos para teléfonos móviles que se especializan en suscribir «discretamente» a los usuarios a servicios de pago. La estafa se perpetra de la forma siguiente: los estafadores se suscriben a servicios legítimos en nombre del usuario y se quedan con una parte del dinero facturado.
Si bien esto no es nuevo (Kaspersky ya informaba de ello en 2021) el juego del gato y el ratón entre la gente de Google Play Store y los delincuentes, hace que estas excrecencias intenten perdurar en la tienda oficial.
Muchas se eliminan, pero vuelven insistentemente a la carga año tras año con nombres distintos, y algunas variaciones en su modus operandi.
Otras que son descubiertas y exiliadas de Google Play, e incluso de Aptoide, migran a otras tiendas alternativas como APKPure, donde el control es menos exhaustivo, o directamente inexistente.
¿Cómo te suscriben a aplicaciones de pago?
- Un usuario interesado en suscribirse a un servicio necesita visitar el sitio web del proveedor del contenido y hacer clic o tocar el botón de suscripción
- Los proveedores de servicios, a veces por seguridad, requieren que el usuario confirme su suscripción mediante un código de confirmación enviado a través un mensaje de texto.
- En otros casos, intentan dificultar la automatización de las suscripciones utilizando reCAPTCHA.
- Otros analizan el tráfico y bloquean las estafas de suscripción empleando soluciones antifraude.
Sin embargo, hay algunos tipos de malware (en este caso troyanos) que pueden eludir alguna o todas estas protecciones.
Veamos quienes son los culpables:
Jocker: un ladrón de mensajes de texto
Los troyanos de la infame familia Trojan.AndroidOS.Jocker pueden interceptar los códigos enviados mediante mensajes de texto y eludir las soluciones antifraude.
- Los estafadores descargan aplicaciones legítimas de la tienda.
- Les agregan su código malicioso.
- Las vuelven a cargar en Google Play con un nombre diferente.
Para perpetrar la estafa, la aplicación acostumbra a hacerse pasar por la típica app de mensajería instantánea, y una vez instalada en un dispositivo, solicitará acceso a los mensajes de texto.
Que una app de mensajería instantánea, solicite acceso a los mensajes de texto, parece lógico, ¿no?
En la mayoría de los casos, las aplicaciones troyanizadas cumplen sus propósitos originales y el usuario no sospechará que son una fuente de amenazas.
Pero no siempre es así
En los casos en los que la aplicación no necesite acceso a los mensajes de texto, por ejemplo una app para ver documentos en PDF, o para el control de la presión arterial, solicitará acceso a las notificaciones del dispositivo.
Esto permite hacer exactamente lo mismo: robar el código de confirmación, pero, esta vez, desde las notificaciones emergentes.
Una vez iniciado, el malware se descarga y abre un nuevo archivo que hereda los permisos de la aplicación infectada.
- A continuación, abre la página de suscripción en una ventana invisible para el usuario.
- Simula la pulsación en el botón de suscripción
- Roba el código de confirmación del mensaje de texto enviado por el desarrollador de la app legítima.
- Pone en marcha el proceso de suscripción sin que el usuario se dé cuenta de nada.
Para eludir las verificaciones que realiza la gente de Google Play, la carga útil maliciosa permanecerá inactiva mientras la aplicación se encuentra en la etapa de evaluación.
Si bien desde Google Play hacen todo lo posible para identificar este tipo de aplicaciones, y eliminarlas, lamentablemente suelen aparecen otras nuevas cada poco tiempo.
MobOk el troyano que elude el CAPTCHA
Otro perverso troyano de suscripción fraudulenta identificado como Trojan.AndroidOS.MobOk se detectó por primera vez en una aplicación infectada en Google Play.
Pero ahora puede venir de regalo en aplicaciones distribuidas en markets alternativos como por ejemplo APKPure, y también en actualizaciones falsas de WhatsApp Messenger.
MobOk también se ha extendido como una carga útil del troyano Triada, la mayoría de las veces a través de aplicaciones preinstaladas en algunos modelos de teléfono.
Este troyano funciona según un principio similar al malware descrito en la sección anterior.
Se abre una página de suscripción en una ventana invisible y allí ingresa sigilosamente el código de confirmación robado de un mensaje de texto.
Y para reconocer el código de la imagen de CAPTCHA el troyano lo envía a un servicio especial, dedicado a estos menesteres.
Generalmente una granja de clics.
Vesub: cuidado con las aplicaciones falsas
Un malware llamado Trojan.AndroidOS.Vesub se propaga a través de fuentes no oficiales y acostumbra a imitar juegos y aplicaciones populares como GameBeyond, Tubemate, GTA5 y Vidmate.
También puede distribuirse dentro de «versiones gratuitas» de aplicaciones de pago, como es el caso de Minecraft.
O bajo la apariencia de aplicaciones que, por una razón u otra, han sido eliminadas de los mercados oficiales.
La mayoría de estas aplicaciones son disfuncionales y carecen por completo de cualquier utilidad.
Comienzan a «hacer su trabajo» inmediatamente después de su ejecución, mientras el usuario solo ve en la pantalla una ventana de carga de la aplicación.
Sin embargo, hay algunas raras excepciones, como una aplicación GameBeyond falsa, en la que el malware iba acompañado de un conjunto aleatorio de juegos que funcionaban.
El proceso de suscripción utilizado por Vesub es similar a los ejemplos anteriores: el malware abre una ventana invisible, solicita una suscripción e ingresa un código recibido en un mensaje de texto.
GriftHorse.I: suscripciones con pagos recurrentes
Puedes terminar suscribiéndote a uno de estos infames servicios simplemente por no leer las condiciones de pago con suficiente atención.
Pongamos por ejemplo una maravillosa aplicación que propone planes personalizados para perder peso por una tarifa simbólica.
- Una vez iniciada, la aplicación se le pide al usuario que complete un cuestionario para evaluar su estado de salud.
- Luego se abre una página para informarle que se está generando un plan personal, en función de las respuestas que ha facilitado.
Una vez ha finalizado de «diseñar» el plan personal, toca pagar por el servicio y acceder al proyecto de pérdida de peso, que los estafadores prometen enviar a una dirección de correo electrónico.
Pero la realidad es que el «servicio» lo que hace es cobrar una tarifa de suscripción con facturación automática.
Esto significa que se deducirá dinero de la cuenta bancaria del usuario de forma regular (por ejemplo, cada mes), sin necesidad de confirmación por su parte.
Algo parecido a suscribirse a Netflix.
Pero a diferencia de este último, muchos usuarios no pudieron cancelar la suscripción directamente a través de la aplicación, y otros nunca recibieron un plan de pérdida de peso después de pagar la tarifa de suscripción.
La única que adelgazó unos cuantos euros mensuales fue su cuenta corriente.
GriftHorse.ae: ¡no le des tu número de teléfono!
El nefando troyano detectado como Trojan.AndroidOS.GriftHorse.ae es primo hermano de GriftHorse.l, pero tiene un modus operandi completamente diferente.
El malware se hace pasar por aplicaciones de recuperación de archivos, editores de fotos y videos, escaneo de documentos, apps que hacen parpadear la linterna durante las llamadas entrantes, utilidades de traducción, etc.
Sin embargo, todo lo que estas aplicaciones pueden hacer en la práctica es solicitar un número de teléfono con el pretexto de iniciar sesión en la cuenta de la aplicación, o para recibir un regalo.
Y lo hacen con mucha insistencia, hasta el punto de llegar a agobiar al sufrido propietario del teléfono.
Después de introducir su número de teléfono y hacer clic en «iniciar sesión» el usuario se estará suscribiendo a no se sabe bien que.
Seguramente a algún servicio SMS prémium, o algo similar.
Esta es la forma más simple de suscripción: se factura el dinero a la cuenta asociada al teléfono móvil de la víctima.
Y casi no hay manera humana de recuperar el dinero.
La aplicación se eliminó de Google Play por un aviso de Zimperium, pero aún pueden encontrarse aplicaciones infectadas en las tiendas de aplicaciones de terceros.
Pero eso no significa que ya no se puedan encontrar cosas de ese tipo en la tienda de Google.
Los estafadores son incansables y continúan subiendo una gran cantidad de aplicaciones similares con la esperanza de que al menos algunas de ellas estén disponibles durante un cierto período de tiempo.
Conclusión
Para evitar suscripciones no deseadas, siempre que sea posible procura no instalar aplicaciones de fuentes no oficiales, que es por donde suele pulular de manera más frecuente el malware.
Pero no todas las tiendas alternativas a Google Play tienen que distribuir necesariamente contenido malicioso y peligroso.
- En este sentido, Aptoide es una aplicación bastante segura.
- F-Droid es un repositorio de aplicaciones para Android donde todo el contenido se encuentra bajo la licencia GPL 3.0.
Tampoco debes bajar la guardia al instalar aplicaciones de Google Play: lee las reseñas, infórmate sobre el desarrollador, y sobre todo entérate bien de los términos de facturación.
Para enviar y recibir mensajes, elige una aplicación conocida con críticas positivas.
La app de Mensajes que viene por defecto con Android, muchas veces es más que suficiente.
Incluso si confías plenamente en una aplicación, debes evitar otorgarle demasiados permisos.
Solo permite el acceso a las notificaciones y a los mensajes de texto a las aplicaciones que lo necesitan para realizar las funciones para las que han sido diseñadas.
Las aplicaciones de fondos de pantalla, edición de fotos o un inútil repelente de mosquitos, no necesitan acceso a los mensajes ni a las notificaciones.
