Auge del fraude en el móvil: así operan las bandas que te engañan con 'apps oficiales'
Cada vez más ciberdelincuentes intentan colar 'apps' fraudulentas en la tienda Google Play de Android. Si te las descargas te puedes estar suscribiendo a un servicio de SMS premium sin saberlo
Muchos no llegan a los 30 años y escriben con faltas de ortografía, pero conducen coches caros y publican en Facebook vídeos de los hoteles de lujo en los que recalan. Son dignos representantes de una delincuencia informática nacional que vive en la difusa frontera que separa el marketing agresivo del fraude. Entre sus negocios más rentables, suscribir a la gente a servicios de tarificación especial sin que se enteren, usando aplicaciones supuestamente oficiales. Pero algunos se han pasado y la Guardia Civil va ahora en su busca.
A finales del año pasado, la Guardia Civil alertó sobre una 'app' para Android, llamada "Gran Hermano 17", que se ofrecía en Google Play como legítima. Pero en realidad era fraudulenta. El programa suscribía a sus víctimas a un servicio SMS de pago, con un coste de 1,45€ por SMS recibido. Sólo estuvo una semana en Google Play, que la retiró cuando se descubrió 'el pastel', pero en este tiempo la descargaron más de 10.000 usuarios. Sus autores son una banda que podría ser de Barcelona. La Guardia Civil inició una investigación y esta sigue abierta, según ha confirmado el cuerpo policial a Teknautas.
Sergio de los Santos, director del área de innovación y laboratorio de ElevenPaths, lleva tiempo investigando a este tipo de bandas y aplicaciones. Junto con Kaspersky Labs, publicaron un informe sobre la 'app' de Gran Hermano y cómo los ciberdelincuentes la colaron en Google Play: primero subieron una versión limpia, que pasó los controles sin problema. Unos días después, actualizaron la aplicación y ahí añadieron la posibilidad de que se pudiera suscribir a servicios de pago.
Las 'apps' fraudulentas son el engaño más reciente de la saga. "En España hemos llegado a conocer hasta tres bandas muy activas"
Es este un viejo truco, con el que habrían subido también otras aplicaciones el año pasado, como Gran Hermano 16 y Gran Hermano VIP. La primera consiguió mantenerse dos meses en Google Play sin ser detectada y fue descargada 50.000 veces. Ahora bien, avisa Sergio de los Santos, las descargas no son sinónimo de víctimas: "Siendo cautelosos, es factible que un 10% se suscribiese al menos durante un mes, pues normalmente no advierte el fraude hasta que les llega la factura".
Según Vicente Díaz, analista senior de Kaspersky Lab, "la estafa de envíos de SMS a números premium fue una de las primeras formas de monetización que usó el 'malware' para Android". En algunos países, como España, esta estafa se ha hecho muy popular por no ser necesaria ninguna documentación para contratar el servicio. Al principio, la víctima sólo tenía que dar su número de teléfono y se inventaron múltiples tretas para que lo hiciese: a cambio de participar en un concurso, de descargar un archivo, al responder a un SMS...
'Apps' oficiales (que no lo son)
Las 'apps' fraudulentas son el engaño más reciente de la saga. "En España hay y ha habido bastante actividad con estas estafas. Hemos llegado a conocer hasta tres bandas, una en el sur y otras en el levante español", explica Sergio de los Santos. La clave es usar aplicaciones con temáticas muy populares, como programas de televisión, pornografía, recetas de cocina, juegos, tests de amor, chistes, antivirus o una linterna que "ilumina más que ninguna".
Parte de los creadores y difusores de estas aplicaciones son bandas independientes, operando con empresas de SMS premium que prefieren no saber cómo se recolectan las suscripciones. Suelen ser buenos programadores, conocedores de programación avanzada de Android, porque "al tener que suscribir a la víctima de la manera más oculta posible y verse obligados a programar para no ser detectados por Google ni por los antivirus, tienen que innovar", explica de los Santos.
Recientemente, el investigador detectaba lo que parecía ser el mensaje de uno de estos programadores en un foro, donde pedía ayuda para "mientras la aplicación esté abierta, camuflar lo máximo posible la recepción del SMS, evitar que el móvil suene o vibre al recibir el SMS y borrarlo después de contestar".
Cada impedimento que se pone a estas estafas es un nuevo reto para los programadores. Por ejemplo, para dar de alta un servicio SMS de pago, la ley obliga ahora a mandar un PIN al solicitante, que debe responder mandando el mismo PIN para confirmar que sí quiere la suscripción. El truco: la 'app' procesa el mensaje, busca el PIN en su interior, crea un nuevo mensaje y manda la respuesta de confirmación en menos de un segundo, sin que el usario se percate de nada.
Para que la víctima no se percate, a cada SMS entrante ponen el móvil en silencio y cambian la fecha de forma automática
Lo mismo pasa con el control de calidad de Google Play, cada vez más exigente. "En España parece que hay una gran habilidad para colar 'apps' en Google Play", asegura de los Santos. Prueba de ello son las mencionados programas sobre Gran Hermano y otras estrategias, como el uso de JavaScript en vez de Java, que de los Santos califica como "un movimiento técnico para quitarse el sombrero".
Los programadores españoles destacan también a la hora de desarrollar técnicas para mantener la suscripción sin que la víctima se dé cuenta, explica el investigador: "Para evitar que se percate de que está suscrita al horóscopo de turno, a cada mensaje entrante de este 'servicio' ponen el móvil en silencio y cambian la fecha del SMS, para que el mensaje se hunda silenciosamente en la bandeja de entrada de tus SMS".
La letra pequeña
Junto a estos negocios descaradamente 'sucios' coexiste una zona gris, la de las empresas que operan SMS premium y crean sus propias 'apps'. Estas avisan con letra muy muy pequeña de la suscripción al servicio. Según de los Santos, "quizás no es 'malware' como tal, pero desde luego no está bien visto por los usuarios ni por Google Play".
Las 'apps' de Gran Hermano entrarían en este terreno porque incluían un texto de "Términos y condiciones" que les habría dado una pátina de legalidad, aunque según el informe de Kasperksy y ElevenPaths, "no pudimos verificar que dicha información se mostrara a los usuarios y, en cualquier caso, no se da la oportunidad de rechazar este acuerdo y no suscribirse".
Al encontrarse en la frontera entre el negocio legítimo y la actividad fraudulenta, estas 'apps' ponen a prueba a los sistemas de detección automática de Google Play, lo que muchas veces ocasiona que puedan entrar en él, aunque después sean retiradas. El tiempo que han pasado en el mercado oficial habrá sido suficiente para recabar un buen número de descargas y resultar rentables.
Como explican ElevenPaths y Kaspersky Lab en este informe, las aplicaciones de Gran Hermano que están siendo investigadas suscribían al usuario a diferentes servicios que se auto-describen como compañías especializadas en tecnología para móviles y desarrolladoras de soluciones para la distribución, promoción y monetización de contenidos digitales. Se trata de empresas que buscan de forma activa contratar programadores Android.
Según de los Santos, donde más se concentran este tipo de compañías es "en la zona de Castellón y Levante". En principio son legales, hay información pública de ellas, tienen CIF..., pero la mayoría de las 'apps' que suscriben a estos servicios son detectadas como "malware de envío de SMS" y sus dominios, como explica el informe, como maliciosos por distribución de 'adware' y 'malware'.
Lo de "marketing interactivo" es un eufemismo que puede englobar suscripciones no voluntarias a SMS premium o spam telefónico
"Estas empresas se llaman de "marketing interactivo", un eufemismo que podría englobar suscripciones no voluntarias a SMS premium, spam telefónico y por email. Son legítimas, pero a veces pueden traspasar esa línea tan sutil que diferencia la 'app' de suscripción del 'adware' más agresivo", explica el investigador de ElevenPaths. Detrás de ellas hay empresas que realquilan los números a terceros para que ganen suscriptores, sin importarles cómo los consigan.
En 2015, la Guardia Civil detuvo a los responsables de la considerada mayor trama de fraude mediantes SMS de pago en España, con 2,4 millones de afectados. La banda, dirigida por dos hermanos de Alicante, estuvo 10 años operando, con un beneficio de 22 millones, 14 sociedades pantalla, seis locales y decenas de trabajadores. Aunque su negocio se centraba en mandar mensajes SMS con gancho para que las víctimas respondieran, usaban también apps maliciosas.
"Hay varios corpúsculos que de 2011 a 2015 han creado muchas apps de suscripción encubierta y las han distribuido", explica de los Santos. Cuando consiguen tener la app en Google Play, usan técnicas fraudulentas de posicionamiento para hacerla visible: comentarios positivos ficticios, descargas infladas, etc. Este mismo guion siguieron los españoles creadores de las apps falsas de Gran Hermano.
La policía no puede actuar en estos casos si no hay denuncias. Quizá sea esto, o la juventud, que te hace sentir inmune, lo que hace sonreír en las fotos de Facebook a esos delincuentes informáticos de bajo nivel, en sus chalets con piscina construidos gracias al "marketing gris" de las 'apps' móviles, redes sociales y todo lo que suene a dinero fácil en la red.
Muchos no llegan a los 30 años y escriben con faltas de ortografía, pero conducen coches caros y publican en Facebook vídeos de los hoteles de lujo en los que recalan. Son dignos representantes de una delincuencia informática nacional que vive en la difusa frontera que separa el marketing agresivo del fraude. Entre sus negocios más rentables, suscribir a la gente a servicios de tarificación especial sin que se enteren, usando aplicaciones supuestamente oficiales. Pero algunos se han pasado y la Guardia Civil va ahora en su busca.