Cuidado con las apps maliciosas que realizan compras in-app automáticas en iOS
Se acaba de publicar un reciente informe que hace referencia a una investigación acerca de ciertos pagos encontrados en algunos desarrollos de la tienda oficial de Apple para iOS, la App Store, que siguen una clara tendencia hacia la estafa.
Decimos estos porque se han localizado algunas apps que anuncian servicios falsos y que de manera ilícita están generando miles de dólares al mes en compras desde la propia aplicación maliciosa. Este es un informe que ha llevado a cabo el investigador Johnny Lin en el que describe con todo detalle cómo descubrió esta tendencia que funciona mediante la manipulación de ciertos anuncios de búsqueda para promover aplicaciones dudosas en la App Store. De este modo luego se aprovechan de los usuarios más incautos a través de un mecanismo de compras dentro del software.
En base a la experiencia del propio Lin, afirma que navegando por la categoría de “Productividad” de la App Store, se encontró con aplicaciones de ciertas empresas tan conocidas como Dropbox, Evernote o Microsoft. Eso era de esperar, lo extraño vino después, cuando la décima herramienta de la lista era una llamada «Mobile protection: Clean & Security VPN». Teniendo en cuenta el sospechoso nombre de la aplicación, este investigador estaba seguro de que se trataba de un error en el algoritmo de clasificación de la tienda. De hecho poco después pudo comprobar que esta herramienta en concreto estaba generando, de manera estimada, unos ingresos de 80.000 dólares mensuales, lo que por lógica era casi imposible, o al menos extraño.
Apps en la tienda de iOS se aprovechan de los anuncios para estafar al usuario
Por lo tanto y para saber de qué se trataba realmente el asunto, Lin instaló y ejecutó esta aplicación y de pronto se le pidió que iniciara una prueba gratuita para un antivirus, algo sumamente raro, más si tenemos en cuenta que iOS en un principio no necesita de software antivirus alguno. A continuación el usuario aceptó la «prueba», por lo que al instante apareció un nuevo mensaje de identificación Touch ID que contenía un texto en el que se le solicitaba el pago de 99,99 dólares por una suscripción de 7 días.
Es por ello que Lin se dio cuenta de que estaba a un solo «toque» de pagar 400 dólares al mes por un servicio inexistente ofrecido por un estafador. Entonces, haciendo cálculos, ya tuvo más sentido la previsión de que esta aplicación generase esos 80.000 dólares al mes, ya que 400 por suscriptor, tan solo tiene que estafar a 200 personas para ganar esa cantidad, lo que se traduce el 960.000 dólares al año.
De este modo se ha descubierto cómo los desarrolladores deshonrosos son capaces de aprovecharse de los anuncios de búsqueda de la App Store de Apple, ya que en este apartado no hay ningún proceso de filtrado o aprobación de por medio. Pero no solo es eso, sino que estos anuncios parecen casi indistinguibles de los resultados reales dentro de la tienda. Así Lin encontró otras aplicaciones similares que ganaban dinero con la misma estafa, lo que sugiere una tendencia un tanto inquietante.