Minecraft, TikTok y GTA: 250 aplicaciones falsas suscriben en secreto a usuarios de Android a servicios de pago
Ciberdelincuentes idean astuta estafa para vaciar saldos de móviles.
Los estafadores lanzaron una gran campaña contra los propietarios de smartphones Android y conectaban en secreto a los usuarios a servicios de pago a través de la cuenta móvil. Según los datos de zLabs, las aplicaciones maliciosas se disfrazaban de Facebook, Instagram, TikTok, Minecraft, GTA y otros servicios y juegos populares.
Los especialistas encontraron casi 250 aplicaciones maliciosas. La campaña afectó a Malasia, Tailandia, Rumanía y Croacia. Las aplicaciones verificaban el operador de telefonía por los datos de la tarjeta SIM y atacaban solo a los usuarios seleccionados. Si el operador no encajaba, la aplicación abría una página web normal y parecía inocua. La campaña comenzó en marzo de 2025 y permaneció activa hasta la segunda semana de enero de 2026. Parte de la infraestructura, según zLabs, todavía funciona.
Los atacantes buscaban activar suscripciones de pago a través de la cuenta del operador móvil. En una variante, el programa malicioso abría automáticamente páginas de pago ocultas, solicitaba un código de un solo uso, lo interceptaba mediante el mecanismo legítimo de Google para leer mensajes SMS con códigos y confirmaba la suscripción sin la intervención del propietario del teléfono.
Para algunos operadores el esquema funcionaba de forma más simple. La aplicación enviaba por sí misma mensajes SMS a números cortos de pago con comandos como «ON HITZ», «ON GAM1» o «ON A3». En Tailandia el programa malicioso podía recibir nuevos números y comandos desde el servidor de los atacantes, por lo que los delincuentes no necesitaban actualizar la aplicación para cambiar los objetivos.
Para que el pago se realizara a través de la red móvil, la aplicación maliciosa podía desactivar el Wi‑Fi. En casos aislados el programa cargaba páginas ocultas del operador, robaba archivos de sesión y enviaba el contenido de las páginas al servidor de los atacantes. Así los delincuentes comprobaban qué métodos funcionaban y mejoraban el esquema.
Otra variante del malware enviaba informes a un canal privado de Telegram. Los atacantes recibían información sobre la instalación, los permisos concedidos, el operador, el modelo del dispositivo, la hora del evento y los mensajes SMS enviados. Este mecanismo ayudaba a ver rápidamente las infecciones exitosas y a evaluar qué aplicaciones y plataformas falsas daban más víctimas.
zLabs relaciona la campaña con una infraestructura distribuida de dominios que gestionaban el ataque, recopilaban datos, rastreaban las redirecciones y formalizaban suscripciones de forma automática. Las aplicaciones maliciosas también transmitían etiquetas de origen especiales, por las cuales los atacantes sabían de dónde venía la víctima: de TikTok, Facebook, Google u otra plataforma.
En total los especialistas encontraron al menos 12 números cortos de pago que se utilizaron en el esquema. Los ataques afectaron a abonados de DiGi, Celcom, Maxis, U Mobile, TrueMove H, Vodafone, Orange, Telekom, A1/VIP, Telemach y T-Mobile en distintos países.
Los usuarios de Android deben prestar especial atención a las aplicaciones descargadas fuera de la tienda oficial, incluso si el icono y el nombre parecen familiares. Un juego falsificado o un "cliente" de una red social popular puede resultar ser una aplicación que en segundos active una suscripción de pago y cargue el importe a través del operador móvil.