Actualización, 10 de julio 16:40: añadido el comunicado de 4shared.

Google ha sido blanco de críticas debido a la deficiente revisión a las aplicaciones que se publican en la Play Store. Y es que los últimos años ha crecido el número de apps que realizan prácticas ilegales o que integran algún tipo de malware para infectar terminales Android. Hoy un nuevo reporte deja en evidencia cómo los de Mountain View tienen un problema grave en su proceso de aprobación, pues una app se mantuvo realizando actividades fraudulentas durante 8 años.

El informe fue publicado por Secure-D Lab, una firma de seguridad informática. Según señalan, la aplicación de 4shared, un servicio para almacenar y compartir archivos en la nube, funcionaba en segundo plano en dispositivos Android con el objetivo de generar clics y visualizaciones falsas en anuncios. Posteriormente, mostraban reportes falsos a las compañías publicitarias que los contrataban, ya que en en realidad los usuarios nunca veían esos anuncios. La captura inferior muestra algunas webs corriendo en segundo plano sin que el usuario estuviera enterado:

Por otra parte, la app hacía cargos en las tarjetas bancarias de las personas para simular compras autorizadas en diversas plataformas, incluyendo suscripciones. Secure-D Lab asegura haber bloqueado 114 millones de transacciones móviles sospechosas, mismas que provenían desde la aplicación de 4shared. En total, 4shared se aprovechó de 2 millones de equipos Android de 17 países, y la suma de cargos no reconocidos alcanza los 150 millones de dólares.

¿Cómo lograron llegar a esas cantidades tan significativas? La aplicación de 4shared está disponible en la Play Store desde 2011. Han pasado 8 años sin que Google detectara sus actividades. Acumuló cerca de 100 millones de descargas antes de ser eliminada el pasado abril. Sin embargo, un día después se reemplazó con una nueva versión de la app, la cual no enfrentó ninguna complicación para volver a la tienda.

Si bien eliminaron el código que permitía las prácticas fraudulentas, millones de usuarios todavía conservan la app anterior. El reporte explica, además, que 4shared ocultaba su actividad al momento de establecer conexión con servidores. Concretamente, usaban nombres falsos, ya sea de aplicaciones inexistentes o de otras legítimas. Incluso en algún momento emplearon el de una versión beta de Chrome para pasar desapercibidos. En el análisis también se expone el funcionamiento del SDK de la firma Elephant Data, que aparentemente se encargaba de generar los clics y visualizaciones falsas en anuncios, además de realizar suscripciones en plataformas externas.

Las pistas que indicaban una actividad anormal en los dispositivos eran, de acuerdo al reporte, la duración de la batería y el incremento de uso de los datos móviles, pues la aplicación continuaba funcionando aunque el teléfono estuviera bloqueado. Uno de los equipos usados en el análisis fue un Samsung Galaxy J1 Mini Prime, mismo que sirvió para registrar el tráfico de red que generaba 4shared.

La mayoría de personas afectados por esta situación residen en Brasil, Indonesia y Malasia, países donde el servicio de archivos es bastante popular. La recomendación para evitar ser víctima del fraude es detectar si el teléfono presenta un comportamiento fuera de lo común, además de asegurarse que las apps instaladas no realizan actividades sospechosas. Desafortunadamente, los usuarios de Android tienen que realizar esto por cuenta, y así será mientras Google no afronte la problemática de su tienda digital.

4shared se puso en contacto con Hipertextual, declarando que el SDK de Elephant Data —usado en su app— es el responsable del fraude, mientras que ellos son "uno de los numerosos desarrolladores de aplicaciones que han sufrido de la actividad fraudulenta" por parte de la herramienta mencionada. Reproducimos íntegramente su postura:

Como el desarrollador de aplicaciones, 4shared nunca ha estado involucrado en ningún tipo de actividad fraudulenta y no había tenido conocimiento de tal actividad por parte de Elephant Data Ltd. antes el 1 de julio, 2019.