Los troyanos que te suscriben a aplicaciones de pago

Te contamos cómo los usuarios de Android son víctimas de los troyanos de suscripciones como Jocker, MobOk, Vesub y GriftHorse.

Los troyanos de suscripciones se han convertido en un método habitual para hacerse con el dinero que los usuarios de Android se ganan de forma honrada. Su modus operandi consiste en infiltrarse en un smartphone bajo la apariencia de aplicaciones útiles y suscribirse a servicios de pago sin que el usuario lo sepa. La mayoría de las veces, la suscripción en sí es real, solo que el usuario probablemente no necesita este servicio.

Los creadores de este tipo de troyanos ganan dinero a base de comisiones, es decir, reciben un determinado porcentaje de lo que el usuario gasta en estos movimientos involuntarios. Normalmente los fondos se suelen descontar de la cuenta del teléfono móvil, aunque en algunos casos se pueden cargar directamente en una tarjeta bancaria. Estos son los ejemplos más notables de suscripciones móviles por medio de troyanos que los expertos de Kaspersky han detectado en el último año.

Suscripciones de pago y códigos de confirmación en mensajes de texto

Los troyanos de tipo Jocker suelen propagarse a través de Google Play. Los ciberdelincuentes modifican aplicaciones conocidas añadiéndoles código de forma malintencionada y las suben a la tienda con un nombre diferente. Se encuentran en cualquier tipo de app, desde apps de mensajería instantánea, apps de control de la presión arterial… hasta aplicaciones de escaneo de documentos. Los moderadores de Google Play intentan identificar este tipo de aplicaciones, pero suelen aparecen otras nuevas antes de que puedan eliminar las ya encontradas.

Algunas de las aplicaciones en Google Play que fueron afectadas con el troyano de suscripción Jocker

Algunas de las aplicaciones en Google Play que fueron afectadas con el troyano de suscripción Jocker.

Veamos ahora cómo funcionan realmente estos troyanos. Lo habitual es que, para suscribirse a un servicio, el usuario tenga que ir al sitio del proveedor de contenidos y hacer clic o tocar el botón de suscripción. Para combatir los intentos de suscripción automática, estos proveedores piden al usuario que confirme su decisión introduciendo un código enviado mediante un mensaje de texto. Pero el malware de la familia Jocker puede esquivar este método de protección.

Una vez que la aplicación en cuestión entra en el dispositivo, en muchos casos solicita al usuario el acceso a los mensajes de texto. A continuación, abre la página de suscripción en una ventana invisible, simula la pulsación del botón de suscripción, roba el código de confirmación del mensaje de texto y se suscribe sin que el usuario se haya dado cuenta.

En los casos en los que la aplicación no necesite un acceso a los mensajes de texto (¿para qué iba a necesitar una aplicación de escaneo de documentos acceso a tus SMS?), solicitan acceso a las notificaciones. Esto permite hacer exactamente lo mismo: robar el código de confirmación, pero, esta vez, desde las notificaciones emergentes.

¿Cómo se saltan el CAPTCHA?

Los troyanos de la familia MobOk son un poco más complejos. No solo roban los códigos de confirmación de los mensajes de texto o las notificaciones, sino que también evitan el CAPTCHA, el famoso método de protección contra las suscripciones automáticas. Para reconocer el código de la imagen, el troyano lo envía a un servicio especial – el año pasado investigamos el funcionamiento de las granjas de clics que proporcionan servicios de reconocimiento de CAPTCHA.

En algunos aspectos, funciona de forma similar a los troyanos de la familia Jocker. En otros, MobOk se ha extendido como carga útil del troyano Triada, la mayoría de las veces a través de aplicaciones preinstaladas en algunos modelos de smartphone, actualizaciones no oficiales de WhatsApp o la tienda de aplicaciones alternativa APKPure. En ocasiones, también se pueden encontrar aplicaciones infectadas por MobOk en Google Play.

Troyanos de suscripciones de fuentes no oficiales

El malware de la familia Vesub también se distribuye a través de fuentes poco fiables bajo la apariencia de aplicaciones que, por una razón u otra, han sido baneadas de los servicios oficiales. Por ejemplo, suelen hacerse pasar por aplicaciones para descargar contenidos de YouTube o de otros servicios de streaming como Tubemate o Vidmate; o como una versión no oficial para Android de GTA5. Además, pueden aparecer en estas mismas plataformas como versiones gratuitas de aplicaciones populares que tienen precios elevados, como el caso de Minecraft.

El troyano de suscripción Vesub camuflado como Tubemate, Vidmate, GTA5, Minecraft o el misterioso GameBeyond

El troyano de suscripción Vesub camuflado como Tubemate, Vidmate, GTA5, Minecraft o el misterioso GameBeyond.

A diferencia del malware de las familias MobOk y Jocker, las aplicaciones infectadas por Vesub no suelen tener ninguna utilidad para el usuario. En cuanto se produce la instalación, adquieren una suscripción no solicitada y ocultan al usuario las ventanas relevantes mientras muestran una ventana de carga de la aplicación en la pantalla. En pocos casos podemos encontrar algo útil dentro de la aplicación infectada con MobOk.

Inicio de sesión por número de teléfono

Los troyanos GriftHorse.ae son todavía menos elegantes. Cuando se ejecutan por primera vez, piden directamente al usuario que introduzca su número de teléfono “para iniciar sesión”. La suscripción se realiza en cuanto el usuario lo introduce y pulsa el botón de inicio de sesión y el dinero se carga en su cuenta de móvil. Este malware suele presentarse como una aplicación para recuperar archivos borrados, editar fotos o vídeos, hacer parpadear la linterna en las llamadas entrantes, navegar, escanear documentos, traducir, etc., pero en realidad estas aplicaciones infectadas tampoco ofrecen ninguna utilidad.

Suscripciones de pago automático

Aunque pueda parecer similar, los suscriptores de GriftHorse.l utilizan un método diferente: emplean suscripciones con pagos recurrentes. Oficialmente, esto ocurre con el consentimiento directo del usuario, pero las víctimas pueden no darse cuenta de que están realizando pagos automáticos regulares. Otro truco consiste en hacer que el primer pago sea insignificante y que los cargos posteriores sean notablemente superiores.

Ya hemos analizado un modelo similar, con sitios falsos que ofrecen suscripciones a cursos de formación. En este caso, la mecánica es más o menos la misma, pero implementada dentro de la aplicación. El troyano se distribuye en gran parte por Google Play y el dinero se carga directamente en una tarjeta bancaria, solicitándose la información de pago para acceder al contenido.

¿Cómo no caer en la trampa?

Averiguar cómo cancelar una suscripción de pago no deseada puede ser muy complicado. Así que, como siempre, más vale prevenir que curar. Esto es lo que recomendamos para protegerse de estos troyanos de suscripciones:

– En primer lugar, no instales aplicaciones no oficiales. Esto mejorará en gran medida la seguridad de tu dispositivo.

– Las fuentes oficiales son mucho mejores, pero por desgracia tampoco son 100 % seguras.  Antes de descargar una aplicación de Google Play o de otra tienda, asegúrate siempre de revisar las reseñas y calificaciones.

– Fíjate también en la fecha de aparición de la aplicación en la plataforma. Las tiendas eliminan constantemente las aplicaciones sospechosas, por lo que los estafadores no dejan de crear nuevas versiones de aplicaciones infectadas. Así que, si una aplicación que quieres lleva poco tiempo en la tienda, desconfía de ella.

– Da a las aplicaciones un acceso mínimo a tu dispositivo. Antes de permitir que una aplicación lea tus mensajes o notificaciones, pregúntate si es realmente necesario.

– Instala un antivirus para móviles fiable: esto protegerá tu teléfono de todas las amenazas digitales, incluidos los troyanos de suscripciones.

Consejos