{"id":27146,"date":"2022-05-10T13:35:29","date_gmt":"2022-05-10T11:35:29","guid":{"rendered":"https:\/\/www.kaspersky.es\/blog\/?p=27146"},"modified":"2022-05-10T14:10:49","modified_gmt":"2022-05-10T12:10:49","slug":"trojans-subscribers-2022","status":"publish","type":"post","link":"https:\/\/www.kaspersky.es\/blog\/trojans-subscribers-2022\/27146\/","title":{"rendered":"Los troyanos que te suscriben a aplicaciones de pago"},"content":{"rendered":"

Los troyanos de suscripciones se han convertido en un m\u00e9todo habitual para hacerse con el dinero que los usuarios de Android se ganan de forma honrada. Su modus operandi<\/em> consiste en infiltrarse en un smartphone bajo la apariencia de aplicaciones \u00fatiles y suscribirse a servicios de pago sin que el usuario lo sepa. La mayor\u00eda de las veces, la suscripci\u00f3n en s\u00ed es real, solo que el usuario probablemente no necesita este servicio.<\/p>\n

Los creadores de este tipo de troyanos ganan dinero a base de comisiones, es decir, reciben un determinado porcentaje de lo que el usuario gasta en estos movimientos involuntarios. Normalmente los fondos se suelen descontar de la cuenta del tel\u00e9fono m\u00f3vil, aunque en algunos casos se pueden cargar directamente en una tarjeta bancaria. Estos son los ejemplos m\u00e1s notables de suscripciones m\u00f3viles por medio de troyanos que los expertos de Kaspersky han detectado en el \u00faltimo a\u00f1o<\/a>.<\/p>\n

Suscripciones de pago y c\u00f3digos de confirmaci\u00f3n en mensajes de texto<\/h2>\n

Los troyanos de tipo Jocker suelen propagarse a trav\u00e9s de Google Play. Los ciberdelincuentes modifican aplicaciones conocidas a\u00f1adi\u00e9ndoles c\u00f3digo de forma malintencionada y las suben a la tienda con un nombre diferente. Se encuentran en cualquier tipo de app, desde apps de mensajer\u00eda instant\u00e1nea, apps de control de la presi\u00f3n arterial\u2026 hasta aplicaciones de escaneo de documentos. Los moderadores de Google Play intentan identificar este tipo de aplicaciones, pero suelen aparecen otras nuevas antes de que puedan eliminar las ya encontradas.<\/p>\n

\"Algunas

Algunas de las aplicaciones en Google Play que fueron afectadas con el troyano de suscripci\u00f3n Jocker.<\/p><\/div>\n

Veamos ahora c\u00f3mo funcionan realmente estos troyanos. Lo habitual es que, para suscribirse a un servicio, el usuario tenga que ir al sitio del proveedor de contenidos y hacer clic o tocar el bot\u00f3n de suscripci\u00f3n. Para combatir los intentos de suscripci\u00f3n autom\u00e1tica, estos proveedores piden al usuario que confirme su decisi\u00f3n introduciendo un c\u00f3digo enviado mediante un mensaje de texto. Pero el malware <\/em>de la familia Jocker puede esquivar este m\u00e9todo de protecci\u00f3n.<\/p>\n

Una vez que la aplicaci\u00f3n en cuesti\u00f3n entra en el dispositivo, en muchos casos solicita al usuario el acceso a los mensajes de texto. A continuaci\u00f3n, abre la p\u00e1gina de suscripci\u00f3n en una ventana invisible, simula la pulsaci\u00f3n del bot\u00f3n de suscripci\u00f3n, roba el c\u00f3digo de confirmaci\u00f3n del mensaje de texto y se suscribe sin que el usuario se haya dado cuenta.<\/p>\n

En los casos en los que la aplicaci\u00f3n no necesite un acceso a los mensajes de texto (\u00bfpara qu\u00e9 iba a necesitar una aplicaci\u00f3n de escaneo de documentos acceso a tus SMS?), solicitan acceso a las notificaciones. Esto permite hacer exactamente lo mismo: robar el c\u00f3digo de confirmaci\u00f3n, pero, esta vez, desde las notificaciones emergentes.<\/p>\n

\u00bfC\u00f3mo se saltan el CAPTCHA?<\/h2>\n

Los troyanos de la familia MobOk son un poco m\u00e1s complejos. No solo roban los c\u00f3digos de confirmaci\u00f3n de los mensajes de texto o las notificaciones, sino que tambi\u00e9n evitan el CAPTCHA<\/a>, el famoso m\u00e9todo de protecci\u00f3n contra las suscripciones autom\u00e1ticas. Para reconocer el c\u00f3digo de la imagen, el troyano lo env\u00eda a un servicio especial \u2013 el a\u00f1o pasado investigamos<\/a> el funcionamiento de las granjas de clics que proporcionan servicios de reconocimiento de CAPTCHA.<\/p>\n

En algunos aspectos, funciona de forma similar a los troyanos de la familia Jocker. En otros, MobOk se ha extendido como carga \u00fatil del troyano Triada, la mayor\u00eda de las veces a trav\u00e9s de aplicaciones preinstaladas en algunos modelos de smartphone, actualizaciones no oficiales de WhatsApp<\/a> o la tienda de aplicaciones alternativa APKPure<\/a>. En ocasiones, tambi\u00e9n se pueden encontrar aplicaciones infectadas por MobOk en Google Play.<\/p>\n

Troyanos de suscripciones de fuentes no oficiales<\/strong><\/h2>\n

El malware <\/em>de la familia Vesub tambi\u00e9n se distribuye a trav\u00e9s de fuentes poco fiables bajo la apariencia de aplicaciones que, por una raz\u00f3n u otra, han sido baneadas de los servicios oficiales. Por ejemplo, suelen hacerse pasar por aplicaciones para descargar contenidos de YouTube o de otros servicios de streaming <\/em>como Tubemate o Vidmate; o como una versi\u00f3n no oficial para Android de GTA5. Adem\u00e1s, pueden aparecer en estas mismas plataformas como versiones gratuitas de aplicaciones populares que tienen precios elevados, como el caso de Minecraft.<\/p>\n

\"El

El troyano de suscripci\u00f3n Vesub camuflado como Tubemate, Vidmate, GTA5, Minecraft o el misterioso GameBeyond.<\/p><\/div>\n

A diferencia del malware <\/em>de las familias MobOk y Jocker, las aplicaciones infectadas por Vesub no suelen tener ninguna utilidad para el usuario. En cuanto se produce la instalaci\u00f3n, adquieren una suscripci\u00f3n no solicitada y ocultan al usuario las ventanas relevantes mientras muestran una ventana de carga de la aplicaci\u00f3n en la pantalla. En pocos casos podemos encontrar algo \u00fatil dentro de la aplicaci\u00f3n infectada con MobOk.<\/p>\n

Inicio de sesi\u00f3n por n\u00famero de tel\u00e9fono<\/h2>\n

Los troyanos GriftHorse.ae son todav\u00eda menos elegantes. Cuando se ejecutan por primera vez, piden directamente al usuario que introduzca su n\u00famero de tel\u00e9fono \u201cpara iniciar sesi\u00f3n\u201d. La suscripci\u00f3n se realiza en cuanto el usuario lo introduce y pulsa el bot\u00f3n de inicio de sesi\u00f3n y el dinero se carga en su cuenta de m\u00f3vil. Este malware <\/em>suele presentarse como una aplicaci\u00f3n para recuperar archivos borrados, editar fotos o v\u00eddeos, hacer parpadear la linterna en las llamadas entrantes, navegar, escanear documentos, traducir, etc., pero en realidad estas aplicaciones infectadas tampoco ofrecen ninguna utilidad.<\/p>\n

Suscripciones de pago autom\u00e1tico<\/h2>\n

Aunque pueda parecer similar, los suscriptores de GriftHorse.l utilizan un m\u00e9todo diferente: emplean suscripciones con pagos recurrentes. Oficialmente, esto ocurre con el consentimiento directo del usuario, pero las v\u00edctimas pueden no darse cuenta de que est\u00e1n realizando pagos autom\u00e1ticos regulares. Otro truco consiste en hacer que el primer pago sea insignificante y que los cargos posteriores sean notablemente superiores.<\/p>\n

Ya hemos analizado un modelo similar, con sitios falsos que ofrecen suscripciones a cursos de formaci\u00f3n<\/a>. En este caso, la mec\u00e1nica es m\u00e1s o menos la misma, pero implementada dentro de la aplicaci\u00f3n<\/a>. El troyano se distribuye en gran parte por Google Play y el dinero se carga directamente en una tarjeta bancaria, solicit\u00e1ndose la informaci\u00f3n de pago para acceder al contenido.<\/p>\n

\u00bfC\u00f3mo no caer en la trampa?<\/h2>\n

Averiguar c\u00f3mo cancelar una suscripci\u00f3n de pago no deseada puede ser muy complicado. As\u00ed que, como siempre, m\u00e1s vale prevenir que curar. Esto es lo que recomendamos para protegerse de estos troyanos de suscripciones:<\/p>\n

\u2013 En primer lugar, no instales aplicaciones no oficiales. Esto mejorar\u00e1 en gran medida la seguridad de tu dispositivo.<\/p>\n

\u2013 Las fuentes oficiales son mucho mejores, pero por desgracia tampoco son 100 % seguras.\u00a0 Antes de descargar una aplicaci\u00f3n de Google Play o de otra tienda, aseg\u00farate siempre de revisar las rese\u00f1as y calificaciones.<\/p>\n

\u2013 F\u00edjate tambi\u00e9n en la fecha de aparici\u00f3n de la aplicaci\u00f3n en la plataforma. Las tiendas eliminan constantemente las aplicaciones sospechosas, por lo que los estafadores no dejan de crear nuevas versiones de aplicaciones infectadas. As\u00ed que, si una aplicaci\u00f3n que quieres lleva poco tiempo en la tienda, desconf\u00eda de ella.<\/p>\n

\u2013 Da a las aplicaciones un acceso<\/a> m\u00ednimo a tu dispositivo. Antes de permitir que una aplicaci\u00f3n lea tus mensajes o notificaciones, preg\u00fantate si es realmente necesario.<\/p>\n

\u2013 Instala un antivirus para m\u00f3viles fiable<\/a>: esto proteger\u00e1 tu tel\u00e9fono de todas las amenazas digitales, incluidos los troyanos de suscripciones.<\/p>\n\n","protected":false},"excerpt":{"rendered":"

Te contamos c\u00f3mo los usuarios de Android son v\u00edctimas de los troyanos de suscripciones como Jocker, MobOk, Vesub y GriftHorse.<\/p>\n","protected":false},"author":2684,"featured_media":27150,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"_acf_changed":false,"footnotes":""},"categories":[1348],"tags":[59,188,2969,586],"class_list":{"0":"post-27146","1":"post","2":"type-post","3":"status-publish","4":"format-standard","5":"has-post-thumbnail","7":"category-threats","8":"tag-android","9":"tag-google-play","10":"tag-suscripciones-de-pago","11":"tag-troyanos"},"hreflang":[{"hreflang":"es","url":"https:\/\/www.kaspersky.es\/blog\/trojans-subscribers-2022\/27146\/"},{"hreflang":"en-in","url":"https:\/\/www.kaspersky.co.in\/blog\/trojans-subscribers-2022\/24138\/"},{"hreflang":"en-ae","url":"https:\/\/me-en.kaspersky.com\/blog\/trojans-subscribers-2022\/19621\/"},{"hreflang":"ar","url":"https:\/\/me.kaspersky.com\/blog\/trojans-subscribers-2022\/9907\/"},{"hreflang":"en-us","url":"https:\/\/usa.kaspersky.com\/blog\/trojans-subscribers-2022\/26460\/"},{"hreflang":"en-gb","url":"https:\/\/www.kaspersky.co.uk\/blog\/trojans-subscribers-2022\/24406\/"},{"hreflang":"es-mx","url":"https:\/\/latam.kaspersky.com\/blog\/trojans-subscribers-2022\/24768\/"},{"hreflang":"it","url":"https:\/\/www.kaspersky.it\/blog\/trojans-subscribers-2022\/26693\/"},{"hreflang":"ru","url":"https:\/\/www.kaspersky.ru\/blog\/trojans-subscribers-2022\/33145\/"},{"hreflang":"tr","url":"https:\/\/www.kaspersky.com.tr\/blog\/trojans-subscribers-2022\/10669\/"},{"hreflang":"x-default","url":"https:\/\/www.kaspersky.com\/blog\/trojans-subscribers-2022\/44288\/"},{"hreflang":"fr","url":"https:\/\/www.kaspersky.fr\/blog\/trojans-subscribers-2022\/18875\/"},{"hreflang":"pt-br","url":"https:\/\/www.kaspersky.com.br\/blog\/trojans-subscribers-2022\/19392\/"},{"hreflang":"de","url":"https:\/\/www.kaspersky.de\/blog\/trojans-subscribers-2022\/28534\/"},{"hreflang":"nl","url":"https:\/\/www.kaspersky.nl\/blog\/trojans-subscribers-2022\/28263\/"},{"hreflang":"ru-kz","url":"https:\/\/blog.kaspersky.kz\/trojans-subscribers-2022\/25004\/"},{"hreflang":"en-au","url":"https:\/\/www.kaspersky.com.au\/blog\/trojans-subscribers-2022\/30499\/"},{"hreflang":"en-za","url":"https:\/\/www.kaspersky.co.za\/blog\/trojans-subscribers-2022\/30252\/"}],"acf":[],"banners":"","maintag":{"url":"https:\/\/www.kaspersky.es\/blog\/tag\/android\/","name":"android"},"_links":{"self":[{"href":"https:\/\/www.kaspersky.es\/blog\/wp-json\/wp\/v2\/posts\/27146","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.kaspersky.es\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.kaspersky.es\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.kaspersky.es\/blog\/wp-json\/wp\/v2\/users\/2684"}],"replies":[{"embeddable":true,"href":"https:\/\/www.kaspersky.es\/blog\/wp-json\/wp\/v2\/comments?post=27146"}],"version-history":[{"count":1,"href":"https:\/\/www.kaspersky.es\/blog\/wp-json\/wp\/v2\/posts\/27146\/revisions"}],"predecessor-version":[{"id":27149,"href":"https:\/\/www.kaspersky.es\/blog\/wp-json\/wp\/v2\/posts\/27146\/revisions\/27149"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/www.kaspersky.es\/blog\/wp-json\/wp\/v2\/media\/27150"}],"wp:attachment":[{"href":"https:\/\/www.kaspersky.es\/blog\/wp-json\/wp\/v2\/media?parent=27146"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.kaspersky.es\/blog\/wp-json\/wp\/v2\/categories?post=27146"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.kaspersky.es\/blog\/wp-json\/wp\/v2\/tags?post=27146"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}