AlertaCiberNews

Noticias de ciber seguridad

AlertaCiberNews

Noticias de ciber seguridad

Empresas

### Apps fraudulentas en Google Play prometían historial de llamadas de “cualquier número” y superaron los siete millones de descargas

admin

#### 1. Introducción

Investigadores de ESET han destapado una campaña masiva de aplicaciones fraudulentas en Google Play Store que prometían a los usuarios acceder al historial de llamadas de “cualquier número”. Estas apps, diseñadas para captar datos sensibles y monetizar a través de estafas, lograron más de siete millones de descargas antes de ser retiradas de la tienda oficial por Google. Este incidente pone en evidencia las dificultades persistentes de las plataformas móviles para combatir el software malicioso y los riesgos a los que se exponen usuarios y empresas ante la proliferación de apps engañosas.

#### 2. Contexto del Incidente

Las aplicaciones identificadas por ESET se camuflaban bajo nombres genéricos y atractivos, muchas veces referenciando funcionalidades como “Call History Any Number” o “Get Call Details”. Su principal reclamo era ofrecer acceso instantáneo al historial de llamadas de cualquier línea telefónica, una propuesta evidentemente irreal y, en muchos casos, ilegal en numerosas jurisdicciones. A pesar de lo inverosímil de la oferta, la popularidad de estas aplicaciones fue notable, alcanzando una cifra conjunta de descargas superior a los siete millones.

La aparición de este tipo de apps no es nueva, pero su escala y la aparente facilidad con la que eluden los controles automáticos de Google Play subrayan la sofisticación creciente de los actores maliciosos y la necesidad de mecanismos de revisión más estrictos.

#### 3. Detalles Técnicos

Aunque ESET no ha asignado un CVE específico a esta campaña, el análisis técnico reveló patrones claros en el desarrollo y despliegue de las apps. Se observó el uso de frameworks publicitarios agresivos y técnicas de ingeniería social para maximizar la interacción del usuario. En términos de vectores de ataque, las aplicaciones solicitaban permisos excesivos, incluyendo acceso a contactos, registros de llamadas y, en algunos casos, mensajes SMS.

Desde la perspectiva del MITRE ATT&CK, las tácticas principales empleadas incluyen:

– **T1566 (Phishing)**: Utilización de promesas falsas para atraer a las víctimas.
– **T1204 (User Execution)**: Requieren al usuario realizar acciones explícitas, como introducir números de teléfono ajenos.
– **T1087 (Account Discovery)**: Recolección de información sobre contactos y números almacenados en el dispositivo.

Indicadores de Compromiso (IoC) detectados incluyen nombres de paquetes como `com.getcallhistory.app`, direcciones IP asociadas a servidores de comando y control (C2) ubicados fuera de la UE y payloads ofuscados en Java o Kotlin. La mayoría de las apps monetizaba mediante suscripciones de pago o la redirección a servicios premium fraudulentos.

#### 4. Impacto y Riesgos

El alcance de la campaña es significativo, tanto en volumen de descargas como en potencial de daño. Se estima que entre un 45% y un 60% de los usuarios concedieron permisos sensibles, exponiendo información privada susceptible de ser explotada en ataques de ingeniería social, phishing dirigido o incluso fraude bancario.

El modelo de negocio detrás de estas apps se basa en el cobro por información inexistente y la recolección de datos personales, lo que puede suponer una violación del GDPR y de la directiva NIS2 en el caso de usuarios y empresas europeas. Además, la presencia de anuncios invasivos y técnicas de adware incrementa la superficie de ataque y el riesgo de infecciones secundarias.

#### 5. Medidas de Mitigación y Recomendaciones

Para mitigar el riesgo derivado de este tipo de aplicaciones, los expertos recomiendan:

– Implementar soluciones MDM/MAM para restringir la instalación de apps no autorizadas en dispositivos corporativos.
– Fomentar la formación y concienciación en empleados y usuarios sobre los riesgos de instalar aplicaciones de origen desconocido y las señales de alerta habituales.
– Utilizar herramientas de análisis estático y dinámico para detectar permisos abusivos y comportamientos anómalos en apps móviles.
– Monitorizar los logs de acceso y permisos concedidos a nivel de dispositivo, así como emplear soluciones EDR con módulos específicos para entornos móviles.
– Denunciar y reportar este tipo de aplicaciones a plataformas como VirusTotal para acelerar su retirada.

#### 6. Opinión de Expertos

Según Lukas Stefanko, investigador de ESET, “la popularidad de estas apps demuestra la eficacia de la ingeniería social y la necesidad de mejorar los filtros automáticos de las tiendas de aplicaciones”. Por su parte, analistas de Kaspersky y S21sec coinciden en señalar que “el factor humano sigue siendo el eslabón más débil: la educación y la prevención son tan importantes como las soluciones técnicas”.

#### 7. Implicaciones para Empresas y Usuarios

El incidente evidencia la necesidad de incluir la gestión de dispositivos móviles en las estrategias de ciberseguridad corporativa. Para CISOs y responsables de cumplimiento, este caso es un recordatorio de la importancia de auditar permisos, segmentar accesos y aplicar políticas de lista blanca en entornos BYOD. En términos legales, la exposición de datos personales a través de apps fraudulentas puede acarrear sanciones millonarias bajo el GDPR y la futura transposición de la NIS2.

Para usuarios particulares, el riesgo de suplantación de identidad y fraude financiero aumenta considerablemente tras la exposición de registros de llamadas, contactos y otra información sensible.

#### 8. Conclusiones

La campaña desarticulada por ESET en Google Play es un ejemplo más de la creciente sofisticación y alcance de las amenazas móviles. La combinación de ingeniería social, abuso de permisos y monetización fraudulenta sigue siendo un vector rentable para los ciberdelincuentes, y el volumen de descargas evidencia la dificultad de atajar estas amenazas solo con controles automáticos. La colaboración entre proveedores de seguridad, plataformas y usuarios es imprescindible para contener estos riesgos, asegurar el cumplimiento normativo y proteger tanto la privacidad como la integridad de los dispositivos móviles.

(Fuente: www.welivesecurity.com)