Cómo las aplicaciones populares de Android se convierten en maliciosas

Seguro que has leído más de una vez sobre otra trama de malware para Android que se propagó a través de una famosa aplicación de Google Play. Puedo contar al menos tres casos de este tipo sólo en el último año, aunque no sigo el tema muy de cerca. Sólo recuerdo que algún programa famoso con decenas de millones de descargas se vio de repente envuelto en una campaña fraudulenta. Averigüemos cómo ocurre esto.

No es muy común que las aplicaciones populares formen parte de una campaña maliciosa. Normalmente son de 1 a 3 incidencias al año, una cifra insignificante teniendo en cuenta el alcance de todos los programas disponibles en Google Play. Sin embargo, debido a su gran demanda, casi todo el mundo se da cuenta rápidamente.

Qué tipo de aplicaciones maliciosas existen

¿Qué les falta a los desarrolladores? Al fin y al cabo, si un proyecto ya es popular y tiene un público que paga, no parece tener sentido aliarse con unos malhechores para, primero, acabar con un proyecto que aporta dinero y, segundo, arruinar su propia reputación. Pero eso no es del todo cierto.

Como han demostrado los estudios, la mayoría de las aplicaciones se ven envueltas en esquemas fraudulentos o maliciosos no por voluntad de sus creadores. Al menos cuando se trata de productos populares. Al fin y al cabo, en general sólo hay dos formatos de participación en campañas maliciosas:

  • Adware, donde la aplicación hace girar anuncios sin parar;
  • Todos los demás (extorsión, suscripciones de pago, suplantación de otra app, etc.).

En el primer caso, las campañas publicitarias suelen ser las culpables. El hecho es que los desarrolladores integran en sus aplicaciones un código especial que les permite difundir los anuncios ofrecidos por las redes publicitarias. Pero a veces estos últimos se vuelven astutos y hacen que los anuncios no dejen de emitirse.

Y en el segundo, los nuevos propietarios suelen ser los culpables. No mucha gente lo sabe, pero a veces los desarrolladores de aplicaciones venden su producto aparte por una u otra razón. Si se trata de un empresario deshonesto que decide hacer un mejor negocio con su adquisición, aunque luego tenga que desecharla, estás en problemas. Este ha sido el caso de muchas de las aplicaciones compradas por la china Cheetah Mobile.

Seguridad de las aplicaciones Android

Por regla general, las empresas que compran aplicaciones con fines fraudulentos o de otro tipo intentan que la transacción sea lo más discreta posible. Así que durante mucho tiempo nadie lo sabe, aunque el propietario real ya ha cambiado y ya ha conseguido hacer cambios en el acuerdo de usuario (o no, pero no importa).

Si el comprador resulta no tener escrúpulos, no cuentes con que anuncie la compra de la app para cortar lazos con el anterior propietario y no estropear su imagen con sus decisiones. Nadie suele hacer eso. Los compradores, por el contrario, se benefician de hacer creer a todo el mundo que la aplicación sigue siendo mantenida por el propietario original en el que confían los usuarios. En consecuencia, no esperan que el software al que están acostumbrados empiece a hacer cosas deleznables, a extorsionar sus datos o a suscribirse a boletines de pago.

¿Es posible luchar contra este tipo de esquemas? En principio, es posible. Al fin y al cabo, Google, que registra a los desarrolladores en Google Play, no puede desconocer que una aplicación ha cambiado de propietario o que el antiguo se ha puesto bajo el ala de otro actor del mercado más grande. Al fin y al cabo, el gigante de las búsquedas recoge muchos datos sobre los desarrolladores publicados en su directorio. Por lo tanto, la empresa debería empezar a notificar a los usuarios que su aplicación ha cambiado de propietario y que potencialmente puede esperarse que cambien sus condiciones de uso. Pero esto no es muy rentable para el propio Google, porque el gigante de las búsquedas se lleva su porcentaje de cada transacción, aunque sea injusta, y por tanto no tiene sentido cortar la rama en la que está sentado.