Cuando una aplicación, red social, programa de televisión, etc. tiene una difusión y/o repercusión muy grande, no es extraño que aparezcan las aplicaciones oficiales (apps) para teléfonos inteligentes y tabletas. Éstas se usan, entre otras muchas cosas, para enviar contenidos, notificaciones, recibir opiniones de usuarios, hacer encuestas, etc. Hasta aquí todo bien ¿no?

Sin embargo, aprovechando el tirón, suelen aparecer otras aplicaciones alrededor de ellas que hacen uso de la marca, en ocasiones de manera ilegal y en otras, no tanto. En muchos casos son inofensivas, pero alguna maliciosa se cuela para realizar “tareas” como:

1. Mostrar publicidad, de forma que los autores de la aplicación cobren de sitios web cuando reciban visitas de usuarios. Cuantas más visitas, más ingresos…
2. Alertar sobre supuestos problemas o infecciones en el móvil  del usuario con mensajes que aparecen por pantalla ofreciéndole la “solución”, que generalmente consiste en descargar otra aplicación, que por supuesto, tiene funcionalidades maliciosas o se cobra un importe por su descarga sin que tenga la funcionalidad que se indicaba previamente.
3. Robar datos personales de los usuarios, por ejemplo, usuarios y contraseñas de los servicios a los que se accede desde el móvil.
4. Suscripción a servicios SMS Premium.

Además, existen una serie de apps maliciosas relacionadas con funcionalidades “especiales” que complementan a otras muy conocidas. Por ejemplo: relacionadas con la app Pokemon Go, han aparecido unas cuantas, entre ellas:guías, mapas con la situación de los mejores Pokemon, apps para cazar Pokemon sin moverse del sofá… Obviamente no todas las que hay son maliciosas, pero hay que tener cuidado. Siguiendo con el ejemplo de la app Pokemon Go, antes de publicarse la aplicación oficial en España, había ya alguna que escondía alguna de las características mencionadas anteriormente circulando entre los usuarios. También relacionadas con Whatsapp se detectaron apps de dudosa reputación que ofrecían llamadas antes que la aplicación oficial, y como no, aparecieron las que ofrecían videollamadas… Como mecanismo de propagación, principalmente se utilizaba la ingeniería social, curiosidad y morbo de los usuarios para que éstos acabasen instalando la supuesta app que permitía “espiar” las conversaciones de otros usuarios. Hablamos de WhatsappSpy y WhatsAppEspía entre otras. También se publicó una aplicación relacionada con Gran Hermano 17 que suscribía al usuario a un servicio SMS Premium.

Mencionar las aplicaciones que aun no estando asociadas a otras más mediáticas, han tenido y tienen una difusión notable. Panda Security expuso en un artículo cuatro ejemplos de apps de este tipo relacionadas con salud, estética y cocina que sumaron entre 300.000 y 1.200.000 de descargas. Éstas suscribían al usuario a un servicio SMS Premium, y lo hacían sin que se diera cuenta. El modus operandi era el siguiente: la app enviaban un SMS al servicio, cuando el servicio enviaba el código PIN necesario para suscribirse, la aplicación “interceptaba” ese SMS para que no lo viera el usuario, y ella misma contestaba con el PIN recibido en otro SMS. De esta forma, el móvil quedaba suscrito a un servicio de tarificación especial, con coste de cada SMS recibido entre 1.2€ y 7€. Y aunque se puede demostrar que la aplicación realizaba la suscripción de forma automática, habría que hacer las reclamaciones y correspondientes denuncias.

Por supuesto, se han encontrado aplicaciones que rayando la ilegalidad, intenta suscribir al usuario a SMS Premiumtratando de engañarlo con textos en letras ilegibles o términos y condiciones redactados de forma que sea complicado entenderlos.

Os estaréis preguntando, ¿no se hace nada para evitar la publicación de apps maliciosas?

Las tiendas de aplicaciones oficiales como Google Play y Apple Store tienen controles para que no les cuelen apps maliciosas, pero estos no son infalibles, siempre se puede pasar alguna y, como el objetivo de los ciberdelincuentes es hacer dinero rápido, cuando los servicios bloquean alguna aplicación, rápidamente intentan subir otra al market con funcionalidades similares. Por tanto, tenemos que permanecer siempre atentos. Por supuesto, hay que entender que existen aplicaciones legítimas que suscriben a SMS Premium pero lo hacen de forma clara y sin intentar engañar a nadie, por lo que tiendas de aplicaciones no las pueden eliminar sin más.

Finalmente hemos de indicar que hay aplicaciones que sirven para gastar bromas o reírse un rato y otras que simplemente no van a funcionar, pero no hay que confundirlas con aplicaciones maliciosas. Una app para predecir el futuro no tiene por qué ser maliciosa aunque pongamos en entredicho la utilidad de la misma.

Para evitar caer en este tipo de problemas o engaños y acabemos instalando en nuestros dispositivos algo que no queremos,  hemos de tener en cuenta una serie de recomendaciones:

1. Comprobar quién es el desarrollador de la aplicación. Si Pokemon Go es de Niantic, no debemos descargar la aplicación de otro desarrollador. Gran Hermano, es de Mediaset España, si descargamos otra distinta, podemos tener problemas.
2. Fijarse en el número de descargas de la app. Si descargamos una aplicación de seguimiento masivo, no puede tener 100 descargas.
3. Permisos. Si descargamos una aplicación sobre cómo perder barriga, no tiene sentido darle permisos sobre los SMS o llamadas.
4. No fiarse de títulos espectaculares como: “Mira quien te rechazó en Facebook” o “Espía conversaciones de Whatsapp de otros usuarios”.
5. Sólo descargar aplicaciones de fuentes fiables, y si es posible solo de tiendas oficiales.
6. No está de más bloquear los servicios “Premium” o de “tarificación especial” en nuestra línea de móvil. Eso se lo debemos solicitar a nuestro operador de telefonía, he hecho ya hay alguno que no permite ese tipo de servicios.

Las aplicaciones nos pueden prestar un servicio u ofrecer entretenimiento, pero debemos tener en cuenta que algunas de ellas tienen más funcionalidades de las que pensamos. En especial, cuidado con el permiso para enviar/recibir SMS, y antes de instalar, comprobar.