Madrid, 25 de octubre de 2021 - Avast (LSE:AVST), líder mundial en seguridad digital y privacidad, ha anunciado hoy el descubrimiento de más de 150 aplicaciones de estafa de SMS premium, que forman parte de una campaña que Avast ha bautizado como "UltimaSMS". Todas las aplicaciones son casi idénticas en estructura y funcionalidad, y pueden costar a las víctimas, sin recibir ningún tipo de bonificación, más de 40 dólares al mes, dependiendo de su ubicación y del operador de telefonía móvil. La semana pasada, más de 80 aplicaciones todavía estaban disponibles en Google Play Store. Avast lo denunció al equipo de seguridad de Google, resultando en su inmediata eliminación de la Store. Según la plataforma de inteligencia de amenazas móviles de Avast, Apklab.io, las 70 aplicaciones restantes también habían estado disponibles previamente en la Play Store.
Las aplicaciones, que se han descargado más de 10 millones de veces según los datos de Sensor Tower, una empresa de inteligencia y marketing de aplicaciones móviles, se disfrazan de teclados personalizados, escáneres de códigos QR, editores de vídeo y fotografía, bloqueadores de llamadas de spam, filtros de cámara y juegos, entre otros. Según los datos de Sensor Tower, las aplicaciones eran promovidas a través de anuncios en redes sociales, como Tik Tok e Instagram, y han sido descargadas principalmente por usuarios de Oriente Medio, Estados Unidos y Polonia.
"Las aplicaciones son todas muy similares en lo que respecta a su funcionamiento, lo que me lleva a creer que hay un solo actor o grupo de actores detrás de la campaña", dijo Jakub Vávra, analista de amenazas de Avast. "La persona o personas detrás de la campaña UltimaSMS parecen estar hambrientas de dinero, ya que están anunciando las aplicaciones a través de Tik Tok, Instagram y Facebook, lo que también habla del tamaño y el impacto de este tipo de estafa”.
Una vez descargadas, las aplicaciones comprueban la ubicación del dispositivo, el IMEI y el número de teléfono para determinar en qué idioma mostrar la estafa. Cuando el usuario abre la aplicación, se le pide que introduzca su número de teléfono y, en algunos casos, también su dirección de correo electrónico, para poder utilizar las funciones anunciadas por la aplicación. Si el usuario envía esta información, se registra en una suscripción a SMS premium, que en algunas ocasiones se describe en letra pequeña debajo del botón de la llamada a la acción, pero no ocurre siempre. Las funciones anunciadas por las aplicaciones no se desbloquean después de este paso, sino que se muestran otras opciones de suscripción de SMS o directamente las aplicaciones dejan de funcionar por completo.
"Las aplicaciones se disfrazan de auténticas mediante perfiles de aplicaciones bien construidos en la Play Store. Estos perfiles presentan fotos llamativas, con descripciones bien escritas, y a menudo tienen un alto promedio de reseñas. Sin embargo, si se miran más de cerca, tienen declaraciones genéricas de política de privacidad y presentan perfiles básicos de desarrolladores que incluyen direcciones de correo electrónico genéricas", explicó Jakub Vávra. "A pesar de tener altos promedios de reseñas, muchas de ellas son negativas, escritas por usuarios que identificaron correctamente las aplicaciones como estafas o que han caído en el engaño. Desgraciadamente, los niños parecen ser susceptibles a estas estafas, según lo que expresan las reseñas dejadas en los perfiles de las aplicaciones”.
Cómo pueden protegerse los usuarios contra las estafas de los SMS Premium
Jakub Vávra recomienda a los usuarios de móviles, en primer lugar, desactivar las opciones de SMS Premium con sus operadores, a menos que sea absolutamente necesario, para evitar que incluso los usuarios más precavidos sean víctimas de la estafa. Además, aconseja comprobar detenidamente las reseñas antes de descargar aplicaciones, ya que las aplicaciones fraudulentas suelen tener una media de reseñas elevada, pero aquellas que estén pobremente escritas suelen ser una señal de alarma. Además, los usuarios deben evitar introducir información personal, como números de teléfono o direcciones de correo electrónico. Él también recomienda buscar y leer siempre la letra pequeña para evitar caer en estafas como UltimaSMS. Por último, Jakub advierte del peligro de descargar aplicaciones fuera de las tiendas oficial de aplicaciones, sobre todo teniendo en cuenta que muchas de las aplicaciones que Avast descubrió siguen estando disponibles para su descarga fuera de la Play Store.
La lista completa de las aplicaciones UltimaSMS descubiertas por Avast se puede encontrar aquí.