{"id":24768,"date":"2022-05-23T14:24:44","date_gmt":"2022-05-23T20:24:44","guid":{"rendered":"https:\/\/latam.kaspersky.com\/blog\/?p=24768"},"modified":"2022-05-23T14:24:44","modified_gmt":"2022-05-23T20:24:44","slug":"trojans-subscribers-2022","status":"publish","type":"post","link":"https:\/\/latam.kaspersky.com\/blog\/trojans-subscribers-2022\/24768\/","title":{"rendered":"Troyanos de suscripciones locos por registrarte"},"content":{"rendered":"

Los troyanos de suscripciones se han convertido en un m\u00e9todo muy usual para conseguir el dinero que los usuarios de Android se ganan de forma honrada. Su modus operandi<\/em> consiste en infiltrarse en un smartphone bajo el perfil de aplicaciones \u00fatiles, al tiempo que se suscriben a servicios de pago sin que el usuario se entere. La mayor\u00eda de las veces se trata de una suscripci\u00f3n real, solo que el usuario probablemente no necesita este servicio.<\/p>\n

Los creadores de este tipo de troyanos ganan dinero mediante comisiones, es decir, reciben un porcentaje determinado de lo que el usuario invierte en movimientos que desconoce. Usualmente se descuentan los fondos de la cuenta del celular, aunque en algunos casos se pueden cargar directamente en una tarjeta bancaria. Estos son los ejemplos m\u00e1s notables de suscripciones m\u00f3viles por medio de troyanos que los expertos de Kaspersky han detectado en el \u00faltimo a\u00f1o<\/a>.<\/p>\n

Suscripciones de pago y c\u00f3digos de confirmaci\u00f3n en mensajes de texto<\/h2>\n

Google Play es el medio por el cual suelen propagarse los troyanos de tipo Jocker. Los ciberdelincuentes modifican aplicaciones conocidas y las a\u00f1aden c\u00f3digo de forma malintencionada, para despu\u00e9s subirlas a la store<\/em> con un nombre diferente. Se encuentran en apps de cualquier tipo, desde aquellas enfocadas en mensajer\u00eda instant\u00e1nea, de control de la presi\u00f3n arterial\u2026 hasta aquellas especializadas en escaneo de documentos. Los moderadores de Google Play tratan de identificar aplicaciones de este tipo, pero suelen aparecer otras nuevas antes de que puedan eliminar las que ya ubicaron.<\/p>\n

\"Algunas

Algunas de las aplicaciones en Google Play que fueron afectadas con el troyano de suscripci\u00f3n Jocker<\/p><\/div>\n

Analicemos c\u00f3mo funcionan estos troyanos en realidad. Usualmente, para suscribirse a un servicio, el usuario tiene que visitar el sitio del proveedor de contenidos y hacer clic o tocar el bot\u00f3n de suscripci\u00f3n. Para evitar los intentos de suscripci\u00f3n autom\u00e1tica, estos proveedores piden al usuario que confirme su decisi\u00f3n introduciendo un c\u00f3digo enviado mediante un mensaje de texto. Pero el malware <\/em>de la familia Jocker puede esquivar este m\u00e9todo de protecci\u00f3n.<\/p>\n

Una vez que la aplicaci\u00f3n se descarga en el dispositivo, en la mayor\u00eda de los casos pide al usuario el acceso a los mensajes de texto. A continuaci\u00f3n, abre la p\u00e1gina de suscripci\u00f3n en una ventana invisible, simula el cliqueo en el bot\u00f3n de suscripci\u00f3n, roba el c\u00f3digo de confirmaci\u00f3n del mensaje de texto y se suscribe sin que el usuario se haya percatado de algo.<\/p>\n

En los casos en los que la aplicaci\u00f3n no necesite un acceso a los mensajes de texto (\u00bfpara qu\u00e9 iba a necesitar una aplicaci\u00f3n de escaneo de documentos acceso a tus SMS?), piden acceso a las notificaciones. Con esto sucede exactamente lo mismo: el c\u00f3digo de confirmaci\u00f3n es robado, pero, esta vez, desde las notificaciones emergentes.<\/p>\n

\u00bfC\u00f3mo se saltan el CAPTCHA?<\/h2>\n

Los troyanos de la familia MobOk son un tanto m\u00e1s complejos. No solo roban los c\u00f3digos de confirmaci\u00f3n de las notificaciones o los mensajes de texto, sino que evitan el CAPTCHA<\/a>, este famoso m\u00e9todo de protecci\u00f3n contra las suscripciones autom\u00e1ticas. Para reconocer el c\u00f3digo de la imagen, el troyano lo env\u00eda a un servicio especial \u2013 el a\u00f1o pasado investigamos<\/a> el funcionamiento de las granjas de clics que proporcionan servicios de reconocimiento de CAPTCHA.<\/p>\n

En algunos aspectos, guardan un gran parecido con los troyanos de la familia Jocker. En otros, MobOk se ha extendido como carga \u00fatil del troyano Triada, la mayor\u00eda de las veces a trav\u00e9s de aplicaciones preinstaladas en algunos modelos de smartphone, actualizaciones no oficiales de WhatsApp<\/a> o la tienda de aplicaciones alternativa APKPure<\/a>. En ocasiones, tambi\u00e9n se pueden encontrar apps infectadas por MobOk en Google Play.<\/p>\n

Troyanos de suscripciones de fuentes no oficiales<\/strong><\/h2>\n

El malware <\/em>de la familia Vesub tambi\u00e9n se distribuye mediante fuentes poco confiables y bajo la apariencia de apps que han sido baneadas de los servicios oficiales por una raz\u00f3n u otra. Por ejemplo, suelen suplantar aplicaciones para descargar contenido de YouTube uotros servicios de streaming <\/em>como Tubemate o Vidmate; o como una versi\u00f3n no oficial para Android de GTA5. Adem\u00e1s, tambi\u00e9n pueden aparecer en estas mismas plataformas como versiones gratis de aplicaciones m\u00e1s costosas y populares, como puede ser el caso de Minecraft.<\/p>\n

\"El

El troyano de suscripci\u00f3n Vesub camuflado como Tubemate, Vidmate, GTA5, Minecraft o el misterioso GameBeyond<\/p><\/div>\n

A diferencia del malware <\/em>de las familias MobOk y Jocker, las aplicaciones infectadas por Vesub rara vez tiene alguna utilidad para el usuario. En cuanto son instaladas, adquieren una suscripci\u00f3n no solicitada y ocultan todas las ventanas relevantes al usuario, mientras muestran una ventana de carga de la aplicaci\u00f3n en la pantalla. En casos contados podemos encontrar algo \u00fatil dentro de la aplicaci\u00f3n infectada con MobOk.<\/p>\n

Inicio de sesi\u00f3n por n\u00famero de tel\u00e9fono<\/h2>\n

Los troyanos GriftHorse.ae son menos elegantes todav\u00eda. Cuando son ejecutado por vez primera, piden al usuario directamente que introduzca su n\u00famero de tel\u00e9fono \u201cpara iniciar sesi\u00f3n\u201d. La suscripci\u00f3n se realiza en cuanto el usuario lo introduce, pulsa el bot\u00f3n de inicio de sesi\u00f3n y el dinero se carga en su cuenta de m\u00f3vil. Este malware <\/em>se presenta normalmente como una aplicaci\u00f3n para recuperar archivos borrados, editar videos o fotos, hacer parpadear la linterna en las llamadas entrantes, navegar, escanear documentos, traducir, etc., pero en realidad estas aplicaciones infectadas tampoco son de gran utilidad.<\/p>\n

Suscripciones de pago autom\u00e1tico<\/h2>\n

Aunque pueda parecer igual, los suscriptores de GriftHorse.l utilizan un m\u00e9todo diferente: emplean suscripciones con pagos recurrentes. Esto ocurre, de manera oficial, con el consentimiento directo del usuario, pero las v\u00edctimas pueden no darse cuenta de que est\u00e1n realizando pagos autom\u00e1ticos con regularidad. Otro truco consiste en hacer que el primer pago sea muy peque\u00f1o y que, posteriormente, los cargos sean notoriamente superiores.<\/p>\n

Ya analizamos un modelo similar, con sitios falsos que ofrecen suscripciones a cursos de formaci\u00f3n<\/a>. En este caso, la mec\u00e1nica es m\u00e1s o menos similar, pero implementada dentro de la aplicaci\u00f3n<\/a>. El troyano se distribuye en gran parte por Google Play y el dinero se carga directamente en una tarjeta bancaria, solicit\u00e1ndose la informaci\u00f3n de pago para acceder al contenido.<\/p>\n

\u00bfC\u00f3mo no caer en la trampa?<\/h2>\n

Averiguar c\u00f3mo cancelar una suscripci\u00f3n de pago no deseada puede ser muy complicado. As\u00ed que, como siempre, m\u00e1s vale prevenir que lamentar. Esto es lo que recomendamos para protegerte de estos troyanos de suscripciones:<\/p>\n

\u2013 En primer lugar, no descargues aplicaciones no oficiales. Esto mejorar\u00e1 mayoritariamente la seguridad de tu dispositivo.<\/p>\n

\u2013 Los sitios oficiales son mucho mejores, pero por desgracia tampoco son 100 % seguros.\u00a0 Antes de descargar una aplicaci\u00f3n de Google Play o de otra tienda, aseg\u00farate de revisar las calificaciones y rese\u00f1as siempre.<\/p>\n

\u2013 Presta atenci\u00f3n en la fecha de aparici\u00f3n de la aplicaci\u00f3n en la plataforma. Las tiendas suelen eliminar de manera constante aquellas aplicaciones sospechosas, por lo que los estafadores no dejan de crear nuevas versiones de aplicaciones infectadas. As\u00ed que, si una aplicaci\u00f3n que quieres lleva poco tiempo en la tienda, desconf\u00eda de ella.<\/p>\n

\u2013 Da a las aplicaciones un acceso<\/a> limitado a tu dispositivo. Antes de dejar que entre y lea tus mensajes o notificaciones, preg\u00fantate si es realmente necesario.<\/p>\n

\u2013 Instala un antivirus para celulares confiable<\/a>: esto proteger\u00e1 tu tel\u00e9fono de todas las amenazas digitales, incluidos los troyanos de suscripciones.<\/p>\n

\"\"<\/a><\/p>\n

\u00a0<\/p>\n

\u00a0<\/p>\n","protected":false},"excerpt":{"rendered":"

Te contamos c\u00f3mo los usuarios de Android son v\u00edctimas de los troyanos de suscripciones como Jocker, MobOk, Vesub y GriftHorse.<\/p>\n","protected":false},"author":2684,"featured_media":24769,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"_acf_changed":false,"footnotes":""},"categories":[3145],"tags":[2163,739,3785,1262],"class_list":{"0":"post-24768","1":"post","2":"type-post","3":"status-publish","4":"format-standard","5":"has-post-thumbnail","7":"category-threats","8":"tag-android","9":"tag-google-play","10":"tag-suscripciones-de-pago","11":"tag-troyanos"},"hreflang":[{"hreflang":"es-mx","url":"https:\/\/latam.kaspersky.com\/blog\/trojans-subscribers-2022\/24768\/"},{"hreflang":"en-in","url":"https:\/\/www.kaspersky.co.in\/blog\/trojans-subscribers-2022\/24138\/"},{"hreflang":"en-ae","url":"https:\/\/me-en.kaspersky.com\/blog\/trojans-subscribers-2022\/19621\/"},{"hreflang":"ar","url":"https:\/\/me.kaspersky.com\/blog\/trojans-subscribers-2022\/9907\/"},{"hreflang":"en-us","url":"https:\/\/usa.kaspersky.com\/blog\/trojans-subscribers-2022\/26460\/"},{"hreflang":"en-gb","url":"https:\/\/www.kaspersky.co.uk\/blog\/trojans-subscribers-2022\/24406\/"},{"hreflang":"es","url":"https:\/\/www.kaspersky.es\/blog\/trojans-subscribers-2022\/27146\/"},{"hreflang":"it","url":"https:\/\/www.kaspersky.it\/blog\/trojans-subscribers-2022\/26693\/"},{"hreflang":"ru","url":"https:\/\/www.kaspersky.ru\/blog\/trojans-subscribers-2022\/33145\/"},{"hreflang":"tr","url":"https:\/\/www.kaspersky.com.tr\/blog\/trojans-subscribers-2022\/10669\/"},{"hreflang":"x-default","url":"https:\/\/www.kaspersky.com\/blog\/trojans-subscribers-2022\/44288\/"},{"hreflang":"fr","url":"https:\/\/www.kaspersky.fr\/blog\/trojans-subscribers-2022\/18875\/"},{"hreflang":"pt-br","url":"https:\/\/www.kaspersky.com.br\/blog\/trojans-subscribers-2022\/19392\/"},{"hreflang":"de","url":"https:\/\/www.kaspersky.de\/blog\/trojans-subscribers-2022\/28534\/"},{"hreflang":"nl","url":"https:\/\/www.kaspersky.nl\/blog\/trojans-subscribers-2022\/28263\/"},{"hreflang":"ru-kz","url":"https:\/\/blog.kaspersky.kz\/trojans-subscribers-2022\/25004\/"},{"hreflang":"en-au","url":"https:\/\/www.kaspersky.com.au\/blog\/trojans-subscribers-2022\/30499\/"},{"hreflang":"en-za","url":"https:\/\/www.kaspersky.co.za\/blog\/trojans-subscribers-2022\/30252\/"}],"acf":[],"banners":"","maintag":{"url":"https:\/\/latam.kaspersky.com\/blog\/tag\/android\/","name":"Android"},"_links":{"self":[{"href":"https:\/\/latam.kaspersky.com\/blog\/wp-json\/wp\/v2\/posts\/24768","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/latam.kaspersky.com\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/latam.kaspersky.com\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/latam.kaspersky.com\/blog\/wp-json\/wp\/v2\/users\/2684"}],"replies":[{"embeddable":true,"href":"https:\/\/latam.kaspersky.com\/blog\/wp-json\/wp\/v2\/comments?post=24768"}],"version-history":[{"count":3,"href":"https:\/\/latam.kaspersky.com\/blog\/wp-json\/wp\/v2\/posts\/24768\/revisions"}],"predecessor-version":[{"id":24775,"href":"https:\/\/latam.kaspersky.com\/blog\/wp-json\/wp\/v2\/posts\/24768\/revisions\/24775"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/latam.kaspersky.com\/blog\/wp-json\/wp\/v2\/media\/24769"}],"wp:attachment":[{"href":"https:\/\/latam.kaspersky.com\/blog\/wp-json\/wp\/v2\/media?parent=24768"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/latam.kaspersky.com\/blog\/wp-json\/wp\/v2\/categories?post=24768"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/latam.kaspersky.com\/blog\/wp-json\/wp\/v2\/tags?post=24768"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}