Android
Los troyanos de suscripciones se han convertido en un método muy usual para conseguir el dinero que los usuarios de Android se ganan de forma honrada. Su modus operandi consiste en infiltrarse en un smartphone bajo el perfil de aplicaciones útiles, al tiempo que se suscriben a servicios de pago sin que el usuario se entere. La mayoría de las veces se trata de una suscripción real, solo que el usuario probablemente no necesita este servicio.
Los creadores de este tipo de troyanos ganan dinero mediante comisiones, es decir, reciben un porcentaje determinado de lo que el usuario invierte en movimientos que desconoce. Usualmente se descuentan los fondos de la cuenta del celular, aunque en algunos casos se pueden cargar directamente en una tarjeta bancaria. Estos son los ejemplos más notables de suscripciones móviles por medio de troyanos que los expertos de Kaspersky han detectado en el último año.
Suscripciones de pago y códigos de confirmación en mensajes de texto
Google Play es el medio por el cual suelen propagarse los troyanos de tipo Jocker. Los ciberdelincuentes modifican aplicaciones conocidas y las añaden código de forma malintencionada, para después subirlas a la store con un nombre diferente. Se encuentran en apps de cualquier tipo, desde aquellas enfocadas en mensajería instantánea, de control de la presión arterial… hasta aquellas especializadas en escaneo de documentos. Los moderadores de Google Play tratan de identificar aplicaciones de este tipo, pero suelen aparecer otras nuevas antes de que puedan eliminar las que ya ubicaron.
Algunas de las aplicaciones en Google Play que fueron afectadas con el troyano de suscripción Jocker
Analicemos cómo funcionan estos troyanos en realidad. Usualmente, para suscribirse a un servicio, el usuario tiene que visitar el sitio del proveedor de contenidos y hacer clic o tocar el botón de suscripción. Para evitar los intentos de suscripción automática, estos proveedores piden al usuario que confirme su decisión introduciendo un código enviado mediante un mensaje de texto. Pero el malware de la familia Jocker puede esquivar este método de protección.
Una vez que la aplicación se descarga en el dispositivo, en la mayoría de los casos pide al usuario el acceso a los mensajes de texto. A continuación, abre la página de suscripción en una ventana invisible, simula el cliqueo en el botón de suscripción, roba el código de confirmación del mensaje de texto y se suscribe sin que el usuario se haya percatado de algo.
En los casos en los que la aplicación no necesite un acceso a los mensajes de texto (¿para qué iba a necesitar una aplicación de escaneo de documentos acceso a tus SMS?), piden acceso a las notificaciones. Con esto sucede exactamente lo mismo: el código de confirmación es robado, pero, esta vez, desde las notificaciones emergentes.
¿Cómo se saltan el CAPTCHA?
Los troyanos de la familia MobOk son un tanto más complejos. No solo roban los códigos de confirmación de las notificaciones o los mensajes de texto, sino que evitan el CAPTCHA, este famoso método de protección contra las suscripciones automáticas. Para reconocer el código de la imagen, el troyano lo envía a un servicio especial – el año pasado investigamos el funcionamiento de las granjas de clics que proporcionan servicios de reconocimiento de CAPTCHA.
En algunos aspectos, guardan un gran parecido con los troyanos de la familia Jocker. En otros, MobOk se ha extendido como carga útil del troyano Triada, la mayoría de las veces a través de aplicaciones preinstaladas en algunos modelos de smartphone, actualizaciones no oficiales de WhatsApp o la tienda de aplicaciones alternativa APKPure. En ocasiones, también se pueden encontrar apps infectadas por MobOk en Google Play.
Troyanos de suscripciones de fuentes no oficiales
El malware de la familia Vesub también se distribuye mediante fuentes poco confiables y bajo la apariencia de apps que han sido baneadas de los servicios oficiales por una razón u otra. Por ejemplo, suelen suplantar aplicaciones para descargar contenido de YouTube uotros servicios de streaming como Tubemate o Vidmate; o como una versión no oficial para Android de GTA5. Además, también pueden aparecer en estas mismas plataformas como versiones gratis de aplicaciones más costosas y populares, como puede ser el caso de Minecraft.
El troyano de suscripción Vesub camuflado como Tubemate, Vidmate, GTA5, Minecraft o el misterioso GameBeyond
A diferencia del malware de las familias MobOk y Jocker, las aplicaciones infectadas por Vesub rara vez tiene alguna utilidad para el usuario. En cuanto son instaladas, adquieren una suscripción no solicitada y ocultan todas las ventanas relevantes al usuario, mientras muestran una ventana de carga de la aplicación en la pantalla. En casos contados podemos encontrar algo útil dentro de la aplicación infectada con MobOk.
Inicio de sesión por número de teléfono
Los troyanos GriftHorse.ae son menos elegantes todavía. Cuando son ejecutado por vez primera, piden al usuario directamente que introduzca su número de teléfono “para iniciar sesión”. La suscripción se realiza en cuanto el usuario lo introduce, pulsa el botón de inicio de sesión y el dinero se carga en su cuenta de móvil. Este malware se presenta normalmente como una aplicación para recuperar archivos borrados, editar videos o fotos, hacer parpadear la linterna en las llamadas entrantes, navegar, escanear documentos, traducir, etc., pero en realidad estas aplicaciones infectadas tampoco son de gran utilidad.
Suscripciones de pago automático
Aunque pueda parecer igual, los suscriptores de GriftHorse.l utilizan un método diferente: emplean suscripciones con pagos recurrentes. Esto ocurre, de manera oficial, con el consentimiento directo del usuario, pero las víctimas pueden no darse cuenta de que están realizando pagos automáticos con regularidad. Otro truco consiste en hacer que el primer pago sea muy pequeño y que, posteriormente, los cargos sean notoriamente superiores.
Ya analizamos un modelo similar, con sitios falsos que ofrecen suscripciones a cursos de formación. En este caso, la mecánica es más o menos similar, pero implementada dentro de la aplicación. El troyano se distribuye en gran parte por Google Play y el dinero se carga directamente en una tarjeta bancaria, solicitándose la información de pago para acceder al contenido.
¿Cómo no caer en la trampa?
Averiguar cómo cancelar una suscripción de pago no deseada puede ser muy complicado. Así que, como siempre, más vale prevenir que lamentar. Esto es lo que recomendamos para protegerte de estos troyanos de suscripciones:
– En primer lugar, no descargues aplicaciones no oficiales. Esto mejorará mayoritariamente la seguridad de tu dispositivo.
– Los sitios oficiales son mucho mejores, pero por desgracia tampoco son 100 % seguros. Antes de descargar una aplicación de Google Play o de otra tienda, asegúrate de revisar las calificaciones y reseñas siempre.
– Presta atención en la fecha de aparición de la aplicación en la plataforma. Las tiendas suelen eliminar de manera constante aquellas aplicaciones sospechosas, por lo que los estafadores no dejan de crear nuevas versiones de aplicaciones infectadas. Así que, si una aplicación que quieres lleva poco tiempo en la tienda, desconfía de ella.
– Da a las aplicaciones un acceso limitado a tu dispositivo. Antes de dejar que entre y lea tus mensajes o notificaciones, pregúntate si es realmente necesario.
– Instala un antivirus para celulares confiable: esto protegerá tu teléfono de todas las amenazas digitales, incluidos los troyanos de suscripciones.
Consejos