IAS Threat Lab destapa una red de fraude masivo en apps de Android
IAS Threat Lab ha lanzado un nuevo informe que destapa un extenso y sofisticado entramado de fraude publicitario bautizado como “Vapor Threat”, que utiliza aplicaciones falsas de Android para desplegar interminables anuncios de vídeo a pantalla completa.
Esta operación fraudulenta, bajo el nombre clave Vapor, debe su nombre a su capacidad para “evaporar” cualquier funcionalidad real en las aplicaciones, dejando solo anuncios intrusivos.
Según ha podido saber este medio, el informe revela que, en conjunto, el laboratorio de amenazas de IAS ha identificado más de 180 IDs como parte del entramado Vapor Threat que han acumulado más de 56 millones de descargas y generado más de 200 millones de solicitudes de ofertas publicitarias diarias desde 2024, sin ninguna funcionalidad real para los usuarios.
IAS Threat Lab ha compartido las conclusiones de su investigación con Google, que como consecuencia ha retirado de Google Play todas las aplicaciones identificadas en el informe. Sin embargo, los actores que están detrás de la operación han creado varias cuentas de desarrollador, cada una de las cuales aloja un puñado de aplicaciones para distribuir su operación y eludir la posible detección. Esta configuración distribuida garantiza que el desmantelamiento de una única cuenta tendría un impacto mínimo en la operación global.
¿Qué aplicaciones se han visto afectadas?
Las aplicaciones que han utilizado los estafadores están estratégicamente diseñadas para imitar a otras aplicaciones legítimas de confianza, como escáneres QR, gestores de contraseñas, linternas, aplicaciones de salud y fitness (por ejemplo, monitores de ritmo cardíaco, rastreadores de agua, rastreadores de peso), y aplicaciones de estilo de vida (por ejemplo, aplicaciones para tomar notas). Estos diseños engañosos permiten a las aplicaciones infiltrarse en los dispositivos de los usuarios sin levantar sospechas, permitiendo actividades fraudulentas a gran escala.
La primera versión de estas apps se introdujo en Google Play como aplicaciones funcionales. Sin embargo, las actualizaciones posteriores eliminaron la funcionalidad legítima, sustituyéndola por tácticas para maximizar los ingresos publicitarios a través de anuncios intersticiales a pantalla completa.
Estos anuncios intrusivos eliminaban por completo iconos y elementos visibles de la interfaz de usuario, a costa de deteriorar la experiencia del usuario. Creyendo que estas aplicaciones ofrecen funcionalidades útiles, los usuarios proceden a instalarlas, pero la verdadera intención de estas aplicaciones no tarda en hacerse evidente, puesto que no tienen ningún icono visible o botón de “abrir” disponible para que el usuario interactúe con ellas.
Una vez que la aplicación está totalmente instalada, intenta inmediatamente bombardear al usuario con anuncios intersticiales a pantalla completa, secuestrando la pantalla del dispositivo y dejándolo prácticamente inoperativo.
¿Cómo se ha llegado hasta aquí?
IAS Threat Lab rastreó la fase inicial de la operación de fraude Vapor hasta principios de 2024. Durante este tiempo, se hizo un seguimiento de aplicaciones simples de linterna y fondo de pantalla y se vio que restringían el acceso externo al punto de entrada de la aplicación principal, eliminando su capacidad de funcionar como lanzador de aplicaciones.
La operación fraudulenta parece que pudo comenzar a principios de 2024, como se indica en el informe. Pero el esquema fue rápidamente desbaratado cuando las aplicaciones fueron retiradas de la plataforma. Un impulso significativo en el tercer trimestre del pasado año fue seguido de otro fuerte descenso tras nuevas retiradas. Sin embargo, de noviembre de 2024 a enero de 2025, a medida que se canalizaban importantes fondos publicitarios hacia la temporada navideña, el sistema se disparó, y el número total de descargas superó los 21 millones, lo que demuestra la resistencia y la eficacia de la operación.
Tras la investigación de IAS y el intercambio de información con Google a principios de febrero, todas las aplicaciones fraudulentas identificadas asociadas con la operación Vapor fueron rápidamente eliminadas de Play Store, lo que, a su vez, dio lugar a una caída inmediata y dramática en el total de descargas.