Los Peligros de Aplicaciones Móviles Falsas

En algunas ocasiones al querer instalar una aplicación en el celular, por alguna razón, la aplicación oficial no está disponible, esto puede deberse a un bloqueo geográfico de la tienda o puede que el mismo programador haya decidido retirarlo de la tienda. 

Aunque la aplicación no esté disponible en las tiendas oficiales (App Store o Google Play), puede ser obtenida en sitios paralelos de la internet conocidos como APK websites y a los que también puede llegar por un simple descuido.

El mayor problema, sin embargo, es que estos sitios ofrecen versiones que no siempre son verificadas y, por lo tanto, pueden colocar a su cliente en riesgo. Basta con realizar una prueba y buscar en Google el nombre de su aplicación o marca agregando la palabra "APK": probablemente se hallará decenas o cientos de resultados, todos señalando aplicaciones externas a las tiendas oficiales. 

Por qué se multiplican las aplicaciones móviles falsas

Las aplicaciones falsas surgen a partir del uso masivo y despreocupado de los celulares. La notoria confianza que los usuarios depositan día a día en sus aparatos móviles es lo que lleva a la ciberdelincuencia a ver a esos aparatos como un plato rebosante de datos a ser capturados.

Para dimensionar estos riesgos digitales, según datos de RSA, sólo en el primer trimestre de 2019, el número total de fraudes a través de aplicaciones falsas creció un 300% en comparación con el último período de 2018.

El fraude más común proveniente de una app falsa a causa de la navegación descuidada es el malware. Este software maligno puede ser instalado en sistemas operativos desactualizados que tengan fallas de seguridad, o por downloads de origen dudoso. Sin embargo, existen otros muchos matices de esta acción delictiva que pueden pasar por marcas legítimas dentro y fuera de las tiendas móviles oficiales.

Google Play y App Store: ¿estas tiendas oficiales son 100% seguras?

Es un hecho que las tiendas oficiales captan muchas aplicaciones malignas, y nuevos datos sobre eliminación aparecen semanalmente en las noticias. En el informe de seguridad de 2018 del popular Android, el número de smartphones con apps potencialmente malignas que vienen de  Google Play fue de 0,08% del total. En lo que se refiere a las apps que vienen de fuera de la tienda oficial, el número es casi 9 veces mayor: son 0,68% de los dispositivos.

De hecho, el número total de aplicaciones disponibles en Google Play ha disminuido: si en marzo de 2018 eran 3.6 millones, en junio de 2019 se contabilizaron 2.7 millones. Aun así, esta es una cantidad significativa, y, en este “pajar”, las infracciones ya utilizan técnicas que intentan dificultar la identificación de códigos malignos y/o el uso indebido de las marcas.

Burlar identificaciones: nuevas estrategias delictivas

Phishing-in-the-app es una práctica en la que una aplicación sin ningún tipo de código maligno es insertada en las tiendas oficiales. Es difícil de identificar porque funciona como un navegador, redireccionando al usuario a un phishing y robando sus  contraseñas y números de tarjeta de crédito.

En este caso, se usan imágenes y logotipos de bancos famosos. Y estos usos de marca pueden estar presentes solamente en el ícono o en las demostraciones, sin mencionar el nombre de la aplicación. Esto exige, lógicamente, estrategias más amplias de detección y motores de búsqueda más fuertes que las simples búsquedas dentro de las tiendas.

Tiendas no oficiales: APKs e IPAs

Desde aventureros a personas con poca instrucción, existen diversas personas que realizan búsquedas para instalar alguna app específica directamente en Google. En los resultados de las búsquedas, de inmediato surgen alternativas a las tiendas oficiales: son sitios  que ponen a disposición archivos APK (Android Application Package) e IPA (iOS App Store Package).

Además de ser claros desvíos del camino legítimo que el consumidor debería seguir, estos archivos deben considerarse malignos por dos razones principales: 1) pueden estar desactualizados o contener fallas de seguridad; y 2) pueden haber sido creados con el objetivo de capturar informaciones o defraudar usuarios. 

Sólo es necesario buscar cualquier app (que puede o no ser legítima) en una de esas tiendas alternativas de APK e inmediatamente podrá ver la cantidad de versiones que se ofrecen, y con ellas vienen los peligros:

Archivos malignos en todos lados

Las separaciones entre tiendas oficiales y no oficiales, malware y phishing o el simple uso de marca son únicamente ilustrativas. La actividad de la ciberdelincuencia, en general, sucede en un “organismo”. 

Un ejemplo de lo que ocurre con las aplicaciones falsas fue el caso BRara, que fue un troyano divulgado como una actualización para WhatsApp. Fue informado por Kaspersky en agosto de 2019. El malware realizaba el monitoreo de la pantalla del celular infectado y podía, por ejemplo, robar datos y realizar transacciones bancarias. En total, se realizaron más de 10 mil downloads y la aplicación estaba disponible tanto en Google Play como en las tiendas de APKs no oficiales.

Recomendaciones

Así como el crimen se modifica y se vuelve interconectado, también las estrategias que lidian con esas infracciones pueden contener eslabones importantes. Uno de los más relevantes es la  perspicacia digital, los usuarios estan llamados a cuidar su identidad digital siguiendo sencillos pasos como: Descargar aplicaciones únicamente de sitios oficiales Google Play y App Store, a la par descargar aplicaciones que sean realmente útiles para el teléfono móvil.

REFERENCIA: Blog Axur