México, 13 de diciembre 2023--Este año se registró un alarmante crecimiento de aplicaciones engañosas para Android
que se presentan como servicios legítimos de préstamos personales, prometiendo un acceso rápido y fácil al dinero a las víctimas que las instalan en sus dispositivos.
"Estos servicios en realidad están diseñados para estafar a los usuarios ofreciéndoles préstamos con altas tasas de interés respaldados con descripciones engañosas, todo mientras recopilan la información personal y financiera de sus víctimas para chantajearlas y al final obtener sus fondos", explicó la empresa de ciberseguridad ESET.
Este tipo de aplicaciones, conocidas como montadeudas o SpyLoan, han tenido gran impacto en mercados como México, donde ocasionó en años recientes la intervención de las autoridades para alertar sobre su impacto en los usuarios.
"Según la telemetría de ESET, los ejecutores de estas apps operan principalmente en México, Indonesia, Tailandia, Vietnam, India, Pakistán, Colombia, Perú, Chile, Filipinas, Egipto, Kenia, Nigeria y Singapur. Todos estos países tienen diversas leyes que regulan los préstamos privados, no sólo sus tipos, sino también la transparencia de su comunicación. Cualquier detección fuera de estos países podría estar relacionada con smartphones que tienen, por diversas razones, acceso a un número de teléfono registrado en uno de estos países", informó la compañía.
Una gran cantidad de este tipo de aplicaciones fraudulentas se encontraban en Google Play, pero ahora se comercializan vía redes sociales y mensajes SMS, y se pueden descargar desde sitios web dedicados a estafas y tiendas de aplicaciones de terceros.
"Como socio de Google App Defense Alliance, ESET identificó y denunció a Google 18 aplicaciones SpyLoan con más de 12 millones de descargas en Google Play y que 17 fueron posteriormente eliminadas ", explicó.
Funcionamiento de las apps
ESET explicó que una vez que el usuario instala una aplicación SpyLoan, se le pide que acepte las condiciones del servicio y que conceda amplios permisos para acceder a datos confidenciales almacenados en el dispositivo.
Luego, la aplicación pide el registro del usuario, que se hace vía verificación de la contraseña de un solo uso por SMS para validar el número de teléfono de la víctima. Estos formularios seleccionan el código de país basándose en el código de país del número de teléfono de la víctima, garantizando que las personas con números en el país objetivo puedan crear una cuenta.
Una vez verificado el número de teléfono, los usuarios acceden a la función de solicitud de préstamos de la aplicación. Para completar el proceso de solicitud, los usuarios se ven obligados a proporcionar una gran cantidad de información personal, información de la cuenta bancaria, e incluso subir fotos del anverso y reverso de sus documentos de identidad, y una selfie.