Desde principios de 2023, se ha observado un crecimiento alarmante en aplicaciones engañosas de préstamos para Android, las cuales se presentan como servicios legítimos de préstamos personales, prometiendo un acceso rápido y fácil a fondos.
Sin embargo, estas aplicaciones están diseñadas para defraudar a los usuarios ofreciendo préstamos con tasas de interés altas y descripciones engañosas, recolectando información personal y financiera de las víctimas para posteriormente extorsionarlas y obtener sus fondos.
Estas aplicaciones solicitan información sensible a sus usuarios y la exfiltran a los servidores de los atacantes. Esta información se utiliza para acosar y extorsionar a los usuarios de estas aplicaciones, incluso si no se les proporcionó un préstamo. La telemetría de ESET muestra un crecimiento notable de estas aplicaciones en tiendas de aplicaciones no oficiales, Google Play y sitios web desde principios de 2023.
ESET se enfoca en encontrar Aplicaciones Potencialmente Dañinas (PHAs) y detenerlas antes de que lleguen a Google Play. ESET identificó 18 aplicaciones SpyLoan y las reportó a Google, quien posteriormente eliminó 17 de estas aplicaciones de su plataforma. Estas aplicaciones tuvieron más de 12 millones de descargas en Google Play antes de su eliminación.
Los investigadores de ESET descubrieron al menos 18 aplicaciones que combinan software espía con préstamos predatorios y otras prácticas maliciosas. Estas aplicaciones fueron descargadas más de 12 millones de veces desde Google Play. Las aplicaciones SpyLoan solicitan varios tipos de información sensible a sus usuarios y la exfiltran a los servidores de los atacantes.
Una vez instalada una aplicación SpyLoan, esta solicita al usuario que acepte los términos de servicio y otorgue extensos permisos para acceder a datos sensibles almacenados en el dispositivo. Después, la aplicación solicita al usuario que se registre, típicamente a través de una verificación de contraseña de un solo uso por SMS para validar el número de teléfono de la víctima. Estas aplicaciones son capaces de enviar una amplia gama de información personal a sus servidores de mando y control, incluyendo listas de cuentas, registros de llamadas, eventos del calendario, información del dispositivo, listas de aplicaciones instaladas, información de la red Wi-Fi local, e incluso información sobre archivos en el dispositivo.
Además de la recolección de datos y la extorsión, estos servicios presentan una forma de usura digital moderna, refiriéndose a la imposición de tasas de interés excesivas en préstamos, aprovechándose de individuos vulnerables con necesidades financieras urgentes o de prestatarios que tienen acceso limitado a instituciones financieras convencionales.
En México, aplicaciones como Fácil Préstamo, MexiLoan, Ample Cash, Simple Préstamos, Rapikredito, Préstamo Rápido, Préstamos Wallet, Crédito Money y Peso Loan operan de forma similar: al descargar la app se le solicitan al usuario ciertos permisos, como acceder a tu libreta de contactos e incluso a tus redes sociales. Si no pagas en tiempo de inmediato te amenazan con contactar a tu familia y amigos para denunciar tu falta de pago y así afectar tu reputación. Incluso llegan a exigir el pago a amigos y familiares, que nada tienen que ver con la deuda.
Como abogado es difícil ayudar a las víctimas, pues los perpetradores de estos actos de hostigamiento y extorsión suelen ser empresas asiáticas que operan casi clandestinamente desde la comodidad de la tienda de Google Play. Más allá de denunciar a la aplicación en Google Play y los mensajes de WhatsApp con amenazas, no hay mucho qué hacer desde la perspectiva legal. Se pueden presentar denuncias o quejas a PROFECO o ante el INAI, pero dadas las características de operación de estas apps, difícilmente podrán lograr notificarlos y menos fincarles una sanción o multa.
Otra estrategia alterna a las amenazas de contactar a familia y amigos, es ofrecerte incrementos a tu línea de crédito con “menores intereses” si pagas a tiempo.
Es crucial para todos los Internautas ejercer precaución, validar la autenticidad de cualquier aplicación o servicio financiero y confiar en fuentes de confianza. Al mantenerse informados, los usuarios pueden protegerse mejor y así evitar convertirse en víctimas de estos engaños.
Con información de: CyberNews, WeLiveSecurity y algunas víctimas que desean permanecer en el anonimato.
Abogado Digital desde 1996. Egresado del Tec de Monterrey y de la Universidad de Arizona. Presidente Fundador de la Academia Mexicana de Derecho Informático, A.C. (2001). Socio Fundador y Director de Lex Informática Abogados, S.C. (2011). Director Fundador de la Escuela de Derecho Digital, A.C. Vicepresidente Jurídico del Consejo de Seguridad de la Información y Ciberseguridad, A.C. Profesor de programas de licenciatura y posgrado del ITESM (1998), la Universidad Panamericana (2001), Escuela Libre de Derecho (2019), UDLAP Jenkins Graduate School (2019), IIJ de la UNAM (2020), Universidad de Monterrey (2020) y del Tribunal Federal de Justicia Administrativa (2021).
Encuéntrame en: https://JoelGomez.Abogado.Digital.
Sígueme en Twitter: @AbogadoDigital.
Envíame un Telegram: https://t.me/Abogado_Digital.
Artículo redactado con asistencia de diversas inteligencias artificiales generativas con supervisión humana (redacción AD).
