ESET, compañía de seguridad informática, analiza el crecimiento en 2023 de estas apps maliciosas que recopilan y exflitran datos confidenciales de las víctimas, eludiendo los controles de Google Play, y que afectan a personas de varios países, entre ellos México, Colombia, Chile y Perú.
Desde principios de 2023 los investigadores de ESET, compañía líder en detección proactiva de amenazas, han observado un alarmante crecimiento de aplicaciones engañosas para Android que se presentan como servicios legítimos de préstamos personales, prometiendo un acceso rápido y fácil a los fondos. Estos servicios en realidad están diseñados para estafar a los usuarios ofreciéndoles préstamos con altas tasas de interés respaldados con descripciones engañosas, todo mientras recopilan la información personal y financiera de sus víctimas para chantajearlas y, al final, obtener sus fondos. Por ello, los productos de ESET reconocen estas aplicaciones utilizando el nombre de detección SpyLoan, que hace referencia directa a su funcionalidad de spyware combinada con reclamos de préstamos.
Todas las aplicaciones mencionadas en esta nota estaban disponibles en Google Play pero actualmente se comercializan a través de redes sociales y mensajes SMS, y se pueden descargar desde sitios web dedicados a estafas y tiendas de aplicaciones de terceros. Como socio de Google App Defense Alliance, ESET identificó y denunció a Google 18 aplicaciones SpyLoan que tenían más de 12 millones de descargas en Google Play y que fueron posteriormente eliminadas 17 de ellas. La última aplicación identificada por ESET todavía está disponible en Google Play, pero como sus desarrolladores cambiaron sus permisos y funcionalidades, ya no se detecta como una aplicación SpyLoan.
“Es importante tener en cuenta que cada instancia de una aplicación SpyLoan, independientemente de su origen, se comporta de forma idéntica. Si los usuarios descargan una aplicación van a experimentar las mismas funciones y se enfrentarán a los mismos riesgos, sin importar de dónde obtuvieron la aplicación. No interesa si la descarga procede de un sitio web sospechoso, de una tienda de aplicaciones de terceros o incluso de Google Play: el comportamiento de la aplicación será el mismo en todos los casos.”, explica Camilo Gutiérrez Amaya, Jefe del Laboratorio de Investigación de ESET Latinoamérica.
Según la telemetría de ESET, los ejecutores de estas apps operan principalmente en México, Indonesia, Tailandia, Vietnam, India, Pakistán, Colombia, Perú, Chile, Filipinas, Egipto, Kenia, Nigeria y Singapur. Todos estos países tienen diversas leyes que regulan los préstamos privados, no sólo sus tipos, sino también la transparencia de su comunicación. Cualquier detección fuera de estos países podría estar relacionada con smartphones que tienen, por diversas razones, acceso a un número de teléfono registrado en uno de estos países.
ESET Research ha rastreado los orígenes del esquema SpyLoan hasta 2020. En ese momento, este tipo de aplicaciones solo presentaban casos aislados que no llamaban la atención de los investigadores; sin embargo, la presencia de aplicaciones de préstamos maliciosas siguió creciendo y, finalmente, se comenzaron a detectar en Google Play, la App Store de Apple y en sitios web dedicados a estafas. Este enfoque multiplataforma maximizó su alcance y aumentó las posibilidades de participación de los usuarios, aunque estas aplicaciones fueron retiradas posteriormente de las tiendas de aplicaciones oficiales.
A principios de 2022, ESET se puso en contacto con Google Play para notificar sobre más de 20 apps de préstamos maliciosas con más de 9 millones de descargas colectivas. Luego de esta intervención, la compañía eliminó estas apps de su plataforma. Según la telemetría de ESET, las detecciones de SpyLoan comenzaron a aumentar de nuevo en enero de 2023 y desde entonces han seguido creciendo aún más en tiendas de aplicaciones de terceros no oficiales, Google Play y sitios web. En los últimos tres años, la situación ha evolucionado y Google Play ha realizado varios cambios en sus políticas de apps de préstamos personales y ha anulado la publicación de muchas apps de préstamos maliciosas.
“Para atraer a las víctimas, los delincuentes promocionan activamente estas aplicaciones maliciosas con mensajes SMS y en redes sociales populares como X (Twitter), Facebook y YouTube. Aprovechando esta inmensa base de usuarios, los estafadores pretenden atraer a víctimas desprevenidas que necesitan ayuda financiera. Otro aspecto alarmante de algunas aplicaciones SpyLoan es la suplantación de proveedores de préstamos y servicios financieros de buena reputación mediante el uso indebido de nombres y marcas de entidades legítimas.”, añade Gutiérrez Amaya, de ESET Latinoamérica.
Cómo funcionan las aplicaciones de SpyLoan
Una vez que el usuario instala una aplicación SpyLoan, se le pide que acepte las condiciones del servicio y que conceda amplios permisos para acceder a datos confidenciales almacenados en el dispositivo. A continuación, la aplicación solicita el registro del usuario, que normalmente se realiza mediante la verificación de la contraseña de un solo uso por SMS para validar el número de teléfono de la víctima. Estos formularios de registro seleccionan automáticamente el código de país basándose en el código de país del número de teléfono de la víctima, garantizando que sólo las personas con números de teléfono registrados en el país objetivo puedan crear una cuenta.
Con información de Descifrado
