Google continúa centrando buena parte de sus esfuerzos en materia de seguridad para los usuarios. Una cuestión que le ha llevado a ejecutar la eliminación de más de dos centenares de aplicaciones de su Play Store, implicadas en una campaña de fraude publicitario. Esta acción, de las más voluminosas detectadas, se produjo tras las pesquisas del equipo Satori Threat Intelligence de HUMAN, que identificó la operación como "SlopAds", revelando un método de alta sofisticación para lucrarse.

Las tiendas de aplicaciones son un escenario muy amplio y complejo, cuestión de la que se sirven los malhechores para tratar de sacar partido a sus acciones fraudulentas, como viéramos recientemente con el caso de la aplicación falsa de TikTok. Extremar las precauciones es fundamental y Google también busca poner el cerco sobre ese tipo de prácticas con medidas como la verificación de identidad de los creadores de aplicaciones que quieran estar presentes en Android.

El modus operandi tras la campaña SlopAds

Los informes indican que 224 aplicaciones maliciosas se infiltraron en la plataforma oficial de Google, acumulando más de 38 millones de descargas. La retirada es especialmente importante si tenemos en cuenta que no eran APKs de foros opacos, sino software disponible en la tienda oficial. La campaña generaba unos 2.300 millones de solicitudes de anuncios diarias, volumen que podría haber costado millones a anunciantes en impresiones falsas.

Además, la particularidad de SlopAds residía en su ingeniosa técnica. Las aplicaciones funcionaban con normalidad tras su instalación. Sin embargo, si el usuario hacía clic en un anuncio del operador fraudulento antes de la descarga, el programa activaba un mecanismo oculto. Mediante Firebase Remote Config, descargaba un archivo de configuración cifrado con enlaces a módulos maliciosos y servidores de comando y control.

Una vez activado, el malware descargaba cuatro imágenes PNG, aparentemente inofensivas. Estas, según apuntan desde Android Police, ocultaban fragmentos de una carga útil secundaria, "FatModule". Reensamblado y ejecutado, este malware creaba WebViews invisibles en los dispositivos, simulando portales de juegos y noticias para mostrar publicidad en segundo plano. El sistema produjo miles de millones de interacciones y clics publicitarios falsos cada día, agotando recursos del terminal y beneficiando ilícitamente a los atacantes.

Por su parte, Google ha eliminado todas las aplicaciones SlopAds de la Play Store y ha actualizado Play Protect para alertar a los usuarios. La compañía asegura que los dispositivos afectados ya son seguros. No obstante, HUMAN advierte que los responsables planeaban una expansión y podrían intentar una nueva oleada de software fraudulento.

Ante esta amenaza persistente, se insta a la cautela. Pese a las mejoras de Play Protect, es recomendable evitar instalar aplicaciones de desarrolladores desconocidos y mantener Play Protect activo. Un antivirus Android de confianza es otra opción para evitar ser víctimas de este tipo de aplicaciones, mientras que un calentamiento súbito del teléfono o un consumo inesperado de datos podría ser señal de actividad maliciosa en segundo plano.

Finalmente, la desarticulación de SlopAds representa un triunfo para los usuarios y anunciantes, pero también recalca la incesante búsqueda de los actores maliciosos por sortear las defensas. La vigilancia, como subrayan los investigadores de HUMAN, es por ello imprescindible, ya que esta campaña no será probablemente la última gran estafa que azote el ecosistema digital.