Google intensifica la lucha contra el fraude publicitario en Android con la eliminación masiva de aplicaciones en su App Store
Por Redacción - 2 Julio 2025
Google se encuentra inmerso en una contienda persistente contra el fraude publicitario que prolifera a través de aplicaciones maliciosas en su tienda Play Store, un desafío que demanda una vigilancia constante y una adaptación estratégica frente a las tácticas siempre cambiantes de los ciberdelincuentes. La magnitud de esta problemática se evidenció recientemente con la eliminación de 352 aplicaciones vinculadas a un sofisticado esquema de fraude publicitario, bautizado como IconAds por la firma de ciberseguridad HUMAN. Esta operación, meticulosamente diseñada para generar ingresos ilícitos mediante la proliferación de impresiones publicitarias fraudulentas, subraya la complejidad y el alcance de las amenazas que acechan el ecosistema de Android.
El modus operandi de IconAds revela una ingeniosa manipulación de la percepción del usuario, pues las aplicaciones, disfrazadas de utilidades comunes como linternas o escáneres de archivos, camuflaban sus iconos en las pantallas de los dispositivos, dificultando su identificación y eliminación. Una vez instaladas, estas aplicaciones se dedicaban a mostrar anuncios en las pantallas de los usuarios, independientemente de si estaban siendo utilizadas activamente. Aunque no se dispone de una cifra exacta del impacto económico, las estimaciones sugieren que el gasto publicitario desperdiciado podría ascender a varios millones de dólares. En su punto álgido, este esquema llegaba a generar aproximadamente 1.200 millones de solicitudes de pujas publicitarias al día, con un tráfico concentrado principalmente en Brasil, México y Estados Unidos.
Este tipo de fraude publicitario, a menudo invisible para el usuario promedio, representa una fuente significativa de ingresos para los estafadores, quienes operan en las sombras de internet con un nivel de escrutinio sorprendentemente bajo. La falta de atención generalizada hacia esta problemática permite a los delincuentes amasar fortunas, perpetuando un ciclo de operaciones ilícitas que se adapta y evoluciona constantemente. Es un segmento del ciberespacio donde los actores maliciosos prosperan, explotando las vulnerabilidades de un sistema vasto y complejo. Hace apenas unos meses, una situación similar fue desenmascarada por Integral Ad Science, lo que llevó a Google a retirar más de 180 aplicaciones de Play Store, un indicativo claro de la recurrencia de este tipo de ataques.
La sofisticación de estas aplicaciones fraudulentas radica en su capacidad para imitar otras, engañando a los usuarios para que las instalen. Los estafadores no necesitan acumular millones de instalaciones en una sola aplicación, ya que el flujo constante de nuevas aplicaciones les asegura una base de usuarios continua, mientras las ya existentes permanecen latentes en los dispositivos. En algunos casos, las aplicaciones se manifestaban en las pantallas de inicio de los usuarios como círculos blancos sin nombre, cuya pulsación no generaba ninguna acción aparente, mientras que en segundo plano ejecutaban código oculto para mostrar anuncios intersticiales. Otro ejemplo de engaño incluía aplicaciones que replicaban el logotipo de Google Play Store, redirigiendo a los usuarios a la tienda legítima mientras operaban de forma encubierta para inyectar publicidad fuera de contexto.
La evolución de estas tácticas de ofuscación es notable. Inicialmente, la estrategia consistía en simplemente ocultar el icono de la aplicación. Sin embargo, los delincuentes han perfeccionado su técnica, llegando a reemplazar los iconos originales de las aplicaciones maliciosas por otros que simulan ser servicios legítimos de Google, como Gmail o Google Maps. Así, un usuario podría instalar una aplicación de "Fondos de Pantalla 2025" y, al acceder al menú de aplicaciones, encontrar en su lugar un icono de Google Home o Google Maps, lo que dificulta enormemente la identificación del origen real de la publicidad no deseada. Esta estrategia no solo implica el oscurecimiento de los iconos, sino también la implementación de una serie de tácticas de ofuscación "muy exhaustivas", que abarcan desde el código de la aplicación hasta la comunicación con los servidores.
Estas aplicaciones emplean diversas técnicas para evadir la detección, incluyendo el cifrado de datos clave en secciones recónditas de su código nativo, el uso de nombres de archivo y metadatos engañosos, y la ocultación de detalles del dispositivo, como la versión del sistema operativo o el modelo, al conectarse a las redes, a menudo utilizando palabras inglesas aleatorias en su código. Una táctica similar se aplica a los nombres de dominio de las aplicaciones, que se construyen de manera que parezcan inofensivos y se adapten a la función aparente de la aplicación, pero que en realidad codifican parámetros cruciales de una manera que dificulta su detección a nivel de red. En algunos casos, las aplicaciones funcionaban correctamente al principio, para luego implementar una actualización que introducía una puerta trasera, permitiendo la visualización de anuncios fuera de contexto.
El esquema IconAds también se asocia con una red de empresas editoras de software fantasma.
Los ciberdelincuentes lanzaban múltiples aplicaciones bajo un mismo editor, y una vez que estas eran detectadas y eliminadas de Play Store, creaban nuevas entidades editoriales falsas para continuar con sus operaciones. Esta estrategia de rotación les permitía mantener un flujo constante de aplicaciones fraudulentas en la tienda. La persistencia de estas aplicaciones en los dispositivos de los usuarios se debía a que muchos desconocían cómo eliminarlas o simplemente optaban por no hacerlo, lo que garantizaba la monetización continua del fraude.
HUMAN ha estado monitoreando este tipo de comportamiento desde 2023, pero a principios de este año, la actividad experimentó un repunte significativo, con tácticas cada vez más sofisticadas, lo que llevó a una investigación más profunda. Una vez alertado sobre la operación, Google procedió a retirar todas las aplicaciones detectadas de su Play Store. El sistema Play Protect de Google, que se activa por defecto, juega un papel crucial al notificar a los usuarios o bloquear aplicaciones que exhiben comportamientos maliciosos en dispositivos Android, aunque la eficacia de cualquier sistema de protección contra el fraude reside en su capacidad para ajustarse y actualizarse continuamente frente a las últimas técnicas empleadas por los actores maliciosos.
