AlertaCiberNews

Noticias de ciber seguridad

AlertaCiberNews

Noticias de ciber seguridad

Empresas

Aplicaciones fraudulentas en Google Play estafan a millones simulando acceso a historiales de llamadas

admin

## 1. Introducción

En un nuevo episodio que pone en tela de juicio la eficacia de los controles de seguridad en las principales plataformas móviles, investigadores de ciberseguridad han detectado 28 aplicaciones fraudulentas en la Google Play Store que afirmaban proporcionar acceso a historiales de llamadas de cualquier número de teléfono. Lejos de cumplir su promesa, estas apps han estado engañando a los usuarios para que se suscriban a servicios de pago, presentando datos falsos y generando pérdidas económicas significativas. La magnitud del fraude es preocupante: más de 7,3 millones de descargas acumuladas, con una sola aplicación superando ampliamente el millón de instalaciones.

## 2. Contexto del Incidente

El descubrimiento se produce en un momento en que la Google Play Store intenta reforzar sus controles de seguridad frente al incremento de aplicaciones engañosas y potencialmente peligrosas. A pesar de los esfuerzos de Google por implantar mecanismos de revisión automatizados y manuales, los ciberdelincuentes siguen encontrando resquicios para distribuir software malicioso o fraudulento a escala global.

Las aplicaciones identificadas se presentaban como herramientas legítimas, prometiendo a los usuarios acceder a registros de llamadas ajenas, una funcionalidad que, además de inviable desde el punto de vista técnico y legal, constituye una violación flagrante de la privacidad. El atractivo de estos servicios reside en la curiosidad y el desconocimiento de los usuarios, que acaban siendo víctimas de un modelo de fraude basado en suscripciones recurrentes a cambio de información falsa.

## 3. Detalles Técnicos

La campaña detectada emplea técnicas de ingeniería social para persuadir a los usuarios de que es posible obtener historiales de llamadas de terceros, algo que ni el sistema operativo Android ni las API públicas de Google permiten. Las aplicaciones, una vez instaladas, solicitan datos personales (número de teléfono, correo electrónico, etc.) bajo la promesa de entregar los registros requeridos. Posteriormente, el usuario es conducido a una pasarela de pago integrada —habitualmente mediante servicios de facturación de terceros o APIs de Google Play Billing— donde se le solicita la suscripción a planes semanales o mensuales, con precios que oscilan entre los 5 y 30 euros.

Desde el punto de vista técnico, no se ha detectado la presencia de malware avanzado como troyanos bancarios, spyware o exploits conocidos (CVE), pero sí patrones de fraude digital, tipificados como “fleeceware” (MITRE ATT&CK: T1583.006 – Aplicaciones fraudulentas). El código de estas apps incluye mecanismos para falsificar datos generados, presentando al usuario historiales simulados que no corresponden con ninguna información real. No se han identificado indicadores de compromiso (IoC) asociados a la exfiltración de datos sensibles o la escalada de privilegios, aunque sí se observa una orientación clara al lucro económico mediante modelos de suscripción.

## 4. Impacto y Riesgos

El impacto de la campaña es considerable. Al menos 7,3 millones de usuarios han descargado alguna de las aplicaciones implicadas, lo que implica un volumen potencialmente millonario en ingresos ilícitos, teniendo en cuenta la tasa de conversión de usuarios a suscriptores. Aunque no se han producido fugas de información confirmadas, la exposición de datos personales y financieros durante el proceso de registro y pago incrementa el riesgo de futuras campañas de phishing o fraude bancario.

Desde el punto de vista reputacional, el incidente erosiona la confianza en la Google Play Store como canal seguro de distribución de software, y plantea dudas sobre el cumplimiento efectivo de normativas como el RGPD o la directiva NIS2, que exigen a los proveedores de servicios digitales la adopción de medidas para prevenir el fraude y la protección de datos personales.

## 5. Medidas de Mitigación y Recomendaciones

Los expertos recomiendan a los profesionales del sector y administradores de dispositivos móviles la adopción de políticas de whitelisting y restricción de instalaciones desde marketplaces oficiales, apoyándose en soluciones MDM/MAM. Es fundamental monitorizar los permisos solicitados por las apps y bloquear aquellas que requieran acceso innecesario a datos sensibles.

Para los usuarios finales, se aconseja revisar cuidadosamente las valoraciones, comentarios y permisos antes de instalar cualquier aplicación, así como evitar servicios que prometan funcionalidades inviable o ilegales. Las empresas deben reforzar la formación en concienciación y establecer mecanismos de control de gastos y revisiones periódicas de suscripciones en cuentas corporativas.

Google, por su parte, debe intensificar los controles automatizados de revisión de aplicaciones e implementar alertas proactivas ante patrones de fraude recurrentes.

## 6. Opinión de Expertos

Varios especialistas en seguridad móvil, como Lukas Stefanko de ESET y Jake Moore de ESET UK, han advertido sobre el auge de las aplicaciones fleeceware en los ecosistemas Android e iOS. “El modelo de suscripción oculta sigue siendo una de las formas más lucrativas de estafa móvil. No sólo engaña al usuario, sino que explota las lagunas en los procesos de revisión de las tiendas oficiales”, afirma Stefanko. Otros analistas subrayan la necesidad de una mayor colaboración entre desarrolladores de seguridad y marketplaces para compartir IoCs y listas negras actualizadas.

## 7. Implicaciones para Empresas y Usuarios

Este incidente pone de manifiesto la importancia de la gestión de riesgos en entornos BYOD y el papel fundamental de los equipos de TI en la supervisión y control de aplicaciones móviles. Las organizaciones deben actualizar continuamente sus políticas de seguridad y reforzar la monitorización de los dispositivos corporativos. Para los usuarios, la lección es clara: la precaución y la educación digital son las mejores armas frente al fraude.

## 8. Conclusiones

La proliferación de aplicaciones fraudulentas en Google Play evidencia la sofisticación de las técnicas de ingeniería social y la efectividad del modelo de suscripción como vector de fraude. Aunque la campaña identificada no ha empleado malware avanzado ni exploits técnicos, el impacto económico y reputacional es significativo. Se requiere una respuesta coordinada entre plataformas, empresas y usuarios para minimizar el riesgo y reforzar la confianza en los ecosistemas digitales.

(Fuente: feeds.feedburner.com)