Los usuarios de Android deberán estar alertas a una curiosa técnica de estafa descubierta en Google Play que va directamente detrás del dinero y que se apoya únicamente en la falta de atención del usuario.

La aplicación que se ha visto utilizando esta técnica es un juego subido bajo el nombre de “Pingu Cleans Up” que intenta engañar a los usuarios para que involuntariamente se registren a una suscripción semanal, al costo de  €5.49, utilizando el método de pago legítimo de Google Play. La trampa está en que la aplicación asume que algunos usuarios harán clic en cualquier ventana de apariencia legítima que impedirá ejecutar el juego en sí, sin prestar mucha atención a los contenidos. El objetivo principal de la estafa son usuarios que tengan guardados los datos de su tarjeta de crédito en su cuenta de Google Play.

Imagen 1 - El falso juego descubierto en Google Play.

El juego fue subido a Google Play en febrero de 2018 y fue instalado entre 50.000 y 100.000 veces antes de que fuese dado de baja luego de que ESET notificara a Google. Mirando el puntaje y los comentarios sobre el juego, al parecer logró captar la atención de algunos usuarios independientemente del uso engañoso del método de pago de Google Play. Sin embargo, prevalecen los puntajes negativos, tal como se puede observar en la imagen n°2.

Imagen 2 – Mezcla de puntajes y opiniones negativas sobre la aplicación en Google Play.

¿Cómo funciona la estafa de Pingu Cleans Up?

Una vez que se ejecutaba, la aplicación solicitaba a los usuarios que personalicen la apariencia de su personaje en tres pasos. En los primeros dos, para seleccionar el atributo deseado, los usuarios debían hacer clic en "confirmar" en una ventana emergente que aparecía. En el tercer paso, los usuarios que tenían los datos de su tarjeta de crédito guardados verían una ventana similar a las dos anteriores, pero con la diferencia de que el botón de “confirmar” aparecía reemplazado por uno que dice “suscribirse” (subscribe), tal como se puede ver en la imagen n°3.

Quienes hacían clic en el botón “suscribirse” caían en la trampa y se les cargaba la suma de €5.49 a la tarjeta de crédito asociada a la cuenta de Google Play. El pago se repetía semanalmente hasta que el usuario cancelaba su suscripción en la aplicación.

Nota: Las víctimas afectadas por esta particular estafa no necesitarán realizar este procedimiento de forma manual, ya que la suscripción fue dada de baja automáticamente con la eliminiación de la aplicación de la tienda de Google Play.

Imagen 3 – Los tres pasos mediante los cuales se intentaba engañar a los usuarios para que utilice la tarjeta asociada para pagar la suscripción.

A los usuarios que no tenían una tarjeta de crédito asociada a su cuenta se les mostraba una ventana diferente en el paso n°3: en la que se solicitaba agregar un método de pago para completar la compra (imagen 4). La necesidad de tener que atravesar por varios pasos hace que muchos usuarios sean menos propensos a caer en este tipo de estafa que se basa, en un primer lugar, en la falta de precaución por parte de los usuarios.

Imagen 4 – Un tercer paso diferente se despliega a usuarios que no tienen guardados los datos de su tarjeta de crédito.

Cómo estár a salvo de este tipo de estafas

En el caso de “Pingu Cleans Up”, los usuarios podrían haber llegado a notar, incluso antes de que aparezcan la falsa ventana con la opción de “suscribirse”, algunas de las siguientes señales de alerta:

  • Falsos enlaces a “Términos de uso” en cada uno de los tres pasos que se pueden ver en la imagen n°3;
  • Solicitud de pago inmediatamente despues de ejecutar, cuando la aplicación figura como gratuita en Google Play;
  • Malos comentarios y evaluaciones en Google Play.

Para evitar caer en estafas como estas, es importante prestar atención a las indicaciones que surgen inesperadamente y que pienses dos veces antes de confirmar cualquier solicitud. Antes de instalar una aplicación, asegúrate de chequear los comentarios y su calificación. Si permites que tus hijos instalen juegos en tu dispositivo, se recomienda crear una cuenta aparte para este propósito sin asociar una tarjeta de crédito a la misma.

Por último y no menos importante, una solución de seguridad confiable para móviles te ayudará a proteger su dispositivo de las últimas amenazas.

IoCs

Nombre del paquete Hash Nombre de detección
com.pingu.cleansup 5AAE46B3D0C2D7430C75AB076E748C3CA3025E02 Android/FakeApp.IF