Detectadas más de 150 aplicaciones de estafa de SMS premium en Google Play

Recomendados:  El papel de la ciberinteligencia en la seguridad empresarial Webinar La hoja de ruta de DevOps en materia de seguridad Leer

Avast ha anunciado el descubrimiento de más de 150 aplicaciones de estafa de SMS premium, que forman parte de una campaña que Avast ha bautizado como "UltimaSMS". Todas las aplicaciones son casi idénticas en estructura y funcionalidad, y pueden costar a las víctimas, sin recibir ningún tipo de bonificación, más de 40 dólares al mes, dependiendo de su ubicación y del operador de telefonía móvil.

Las aplicaciones, que se han descargado más de 10 millones de veces según los datos de Sensor Tower, se disfrazan de teclados personalizados, escáneres de códigos QR, editores de vídeo y fotografía, bloqueadores de llamadas de spam, filtros de cámara y juegos, entre otros. Las aplicaciones eran promovidas a través de anuncios en redes sociales, como Tik Tok e Instagram, y han sido descargadas principalmente por usuarios de Oriente Medio, Estados Unidos y Polonia.

"Las aplicaciones se disfrazan de auténticas mediante perfiles de aplicaciones bien construidos en la Play Store. Estos perfiles presentan fotos llamativas, con descripciones bien escritas, y a menudo tienen un alto promedio de reseñas. Sin embargo, si se miran más de cerca, tienen declaraciones genéricas de política de privacidad y presentan perfiles básicos de desarrolladores que incluyen direcciones de correo electrónico genéricas", explica Jakub Vávra, analista de amenazas de Avast. "A pesar de tener altos promedios de reseñas, muchas de ellas son negativas, escritas por usuarios que identificaron correctamente las aplicaciones como estafas o que han caído en el engaño. Desgraciadamente, los niños parecen ser susceptibles a estas estafas, según lo que expresan las reseñas dejadas en los perfiles de las aplicaciones”.

Una vez descargadas, las aplicaciones comprueban la ubicación del dispositivo, el IMEI y el número de teléfono para determinar en qué idioma mostrar la estafa. Cuando el usuario abre la aplicación, se le pide que introduzca su número de teléfono y, en algunos casos, también su dirección de correo electrónico, para poder utilizar las funciones anunciadas por la aplicación. Si el usuario envía esta información, se registra en una suscripción a SMS premium, que en algunas ocasiones se describe en letra pequeña debajo del botón de la llamada a la acción, pero no ocurre siempre. Las funciones anunciadas por las aplicaciones no se desbloquean después de este paso, sino que se muestran otras opciones de suscripción de SMS o directamente las aplicaciones dejan de funcionar por completo.

La semana pasada, más de 80 aplicaciones todavía estaban disponibles en Google Play Store. Avast lo denunció al equipo de seguridad de Google, resultando en su inmediata eliminación de la Store. Según la plataforma de inteligencia de amenazas móviles de Avast, Apklab.io, las 70 aplicaciones restantes también habían estado disponibles previamente en la Play Store.

"Las aplicaciones son todas muy similares en lo que respecta a su funcionamiento, lo que me lleva a creer que hay un solo actor o grupo de actores detrás de la campaña", apunta Jakub Vávra. "La persona o personas detrás de la campaña UltimaSMS parecen estar hambrientas de dinero, ya que están anunciando las aplicaciones a través de Tik Tok, Instagram y Facebook, lo que también habla del tamaño y el impacto de este tipo de estafa”.