Estafas en Google Play: 28 apps engañaron a millones

Más de 7,3 millones de descargas lograron 28 aplicaciones fraudulentas alojadas en Google Play antes de ser eliminadas. La estafa, bautizada como “CallPhantom” por los investigadores de la firma de ciberseguridad ESET, se basaba en una promesa imposible: ofrecer a los usuarios acceso a los registros de llamadas, mensajes SMS e historial de WhatsApp de otras personas.

ESET detalló el mecanismo del engaño en un informe publicado en el sitio WeLiveSecurity. Aunque las aplicaciones tenían apariencias distintas, el truco era siempre el mismo: el usuario ingresaba un número de teléfono, pagaba una suma para desbloquear lo que se presentaba como registros de comunicación y, al final, recibía información completamente falsa.

El mecanismo del engaño

Los investigadores descubrieron que algunas de estas apps generaban números de teléfono aleatorios y los vinculaban con nombres y detalles de llamadas que ya estaban incrustados en el código del programa. Otras, en cambio, solicitaban al usuario una dirección de correo electrónico a la que, supuestamente, se enviaría el “historial de llamadas recuperado”.

En todos los casos, ESET confirmó que las aplicaciones nunca solicitaron permisos avanzados o reales que les permitieran acceder a los datos prometidos. La ironía del caso, según los expertos, es que la estafa se sostenía sobre promesas sospechosas desde el principio: ninguna ofrecía funciones inocuas como fondos de pantalla o herramientas meteorológicas, sino que directamente afirmaban poder espiar comunicaciones privadas de terceros.

Pagos y tácticas engañosas

Algunas aplicaciones utilizaban el sistema de pago oficial de Google Play, lo que podría permitir a ciertas víctimas solicitar un reembolso. Otras, en cambio, redirigían a los usuarios hacia plataformas de pago externas o les pedían que introdujeran los datos de su tarjeta de crédito directamente dentro de la aplicación.

En un caso concreto, cuando el usuario intentaba salir de la aplicación, aparecía una alerta engañosa que simulaba ser un nuevo correo electrónico, afirmando que los resultados del historial de llamadas ya estaban disponibles, y redirigía a la persona de vuelta a la pantalla de suscripción.

Eliminación y advertencia

ESET notificó a Google sobre estas 28 aplicaciones el 16 de diciembre, y para el momento en que se publicó el informe, todas habían sido eliminadas de Google Play. Aunque descargar aplicaciones desde fuera de la tienda oficial de Android suele considerarse más riesgoso, este caso demuestra que la propia Google Play puede dar acceso masivo a aplicaciones fraudulentas si logran superar los filtros iniciales de revisión.