Muchos desarrolladores de aplicaciones maliciosas para móviles intentan engañar a los usuarios para que descarguen sus apps haciéndoles creer que se tratan de programas útiles, aunque a veces sus promesas son poco realistas. Tan solo eligen un nombre muy interesante para la aplicación y le añaden una descripción falsa que no coincide con su verdadera funcionalidad.

ESET descubrió ocho aplicaciones falsas en Google Play, que prometen aumentar el número de seguidores en los perfiles de redes sociales de los usuarios. Nuestro software de seguridad está detectando estas aplicaciones como Android/Fasurke.

Disponibles en Google Play Store desde hace más de cuatro meses, estas aplicaciones ya alcanzaron de 250.000 a 1.000.000 de descargas en total.  Tras la notificación de ESET, el equipo de seguridad de Android las eliminó de su tienda.

A pesar de que estas aplicaciones ya no suponen un riesgo para los usuarios de Android, vale la pena detenernos a explicar su funcionamiento, ya que, tarde o temprano, probablemente vuelvan a aparecer aplicaciones maliciosas similares en el mercado, que utilicen las mismas tácticas para engañar a más usuarios.

apps-falsas-followers-1

Imagen 1 Estas aplicaciones se eliminaron de Google Play luego de la notificación de ESET

¿Cómo funcionaban?

Estas ocho aplicaciones falsas principalmente prometen conseguir más seguidores, amigos o visitas en apps de redes sociales; sin embargo, su verdadero propósito es muy diferente: atraer a los usuarios y lograr que paguen por suscripciones perpetuas, compartan su información personal, o acepten recibir mensajes de marketing o anuncios publicitarios.

Después de ejecutar la aplicación, les pide a los usuarios que ingresen su modelo de dispositivo móvil, el nombre de usuario y la cantidad de seguidores que desean conseguir. ¿Ahora ya tendrán 500.000 nuevos seguidores con un solo clic? Lamentablemente no.  Después de pulsar el botón "Comenzar a generar", los usuarios deben completar un segundo paso llamado "Verificación humana".

Screen-Shot-2016-07-12-at-12.43.32

Imagen 2 Ejemplo de una aplicación

Imagen 2 Ejemplo de una aplicación

Sin embargo, esta "verificación" conduce a las víctimas a una serie interminable de ofertas de regalos, cupones y servicios gratuitos, o les solicita su información personal, incluyendo nombre, correo electrónico, dirección, teléfono, fecha de nacimiento y género. También les pide a los usuarios permiso para recibir llamadas o mensajes de ventas por teléfono, entre los que se encuentran suscripciones a SMS Premium, con un costo aproximado de 4,8 euros por semana.

Imagen 3 Una de las ofertas que llevan al usuario a una suscripción paga

Imagen 3 Una de las ofertas que llevan al usuario a una suscripción paga

Imagen 4 Ejemplo de una oferta donde se trata que el usuario dé su consentimiento para recibir comunicaciones de marketing

Imagen 4 Ejemplo de una oferta donde se trata que el usuario dé su consentimiento para recibir comunicaciones de marketing

De hecho, esta "etapa de verificación" es una espiral sin fin. El único propósito de todas estas encuestas, anuncios, ofertas, premios, regalos, cupones y otros trucos baratos de marketing es extraer la mayor cantidad de información y dinero posible de los usuarios que anhelan conseguir más seguidores.

Imagen 5 Algunos comentarios sobre una de las aplicaciones falsas

Imagen 5 Algunos comentarios sobre una de las aplicaciones falsas

Todas las aplicaciones móviles falsas tienen una proporción elevada de puntajes bajos y muchos comentarios extremadamente negativos. A pesar de ello, estas aplicaciones llegaron a tener cientos de miles de instalaciones.

Conclusión

Las aplicaciones falsas descubiertas por ESET en Google Play prometen algo que no son capaces de ofrecer: para ser más precisos, aumentar el número de seguidores en el perfil de las redes sociales de la víctima. En su lugar, les ofrecen a los usuarios una serie interminable de ofertas, cada una de las cuales simplemente es una nueva oportunidad de engañar a los usuarios para que compartan su información personal, permitan las actividades de marketing en su teléfono o incluso se suscriban a servicios pagos de SMS Premium.

Si bien las aplicaciones descubiertas por ESET ya fueron eliminadas de Google Play Store, los usuarios deberán continuar alertas y seguir las mejores prácticas de seguridad, dado que pueden aparecer otras aplicaciones similares en Google Play en cualquier momento.

Recomendaciones de ESET con respecto a las aplicaciones maliciosas para Android

  • Si es posible, restringe las descargas a Google Play Store u otras tiendas de aplicaciones móviles que sean de confianza. Es posible que estos mercados no estén completamente libres de aplicaciones maliciosas, pero al menos tendrás muchas más posibilidades de evitarlas.
  • Antes de instalar cualquier aplicación, verifica sus calificaciones y comentarios. Lee con cuidado los comentarios negativos, ya que a menudo provienen de los usuarios legítimos, mientras que los comentarios positivos suelen ser creados por los mismos atacantes.
  • Frente a las ofertas increíbles, ten en cuenta la regla de oro: "Si parece demasiado bueno para ser verdad, probablemente no lo sea". Si te ofrecen medio millón de seguidores en forma gratuita con un solo clic (o después de completar una encuesta), probablemente no sea cierto.
  • Piensa dos veces antes de ingresar tus datos personales, otorgar permisos o encargar bienes o servicios. Fíjate bien qué es lo que recibirás a cambio.
  • Invierte una pequeña cantidad de esfuerzo y trata de conocer a la persona con quien estás a punto de hacer negocios.
  • Usa una solución de seguridad para dispositivos móviles de buena calidad y reputación para proteger tu dispositivo.

Sigue leyendo: Guía de seguridad en Android