Noticias de seguridad

Aplicaciones de fleeceware han ganado más de $ 400 millones en iOS y Android

Jakub Vávra, 24 marzo 2021

Las estafas de fleeceware prometen pruebas de suscripción gratuitas, pero ofrecen costosos cargos a las víctimas

Los investigadores de Avast han descubierto un total de 204 aplicaciones de fleeceware con más de mil millones de descargas y más de $ 400 millones en ingresos en Apple App Store y Google Play Store. El propósito de estas aplicaciones es atraer a los usuarios a una prueba gratuita para "probar" la aplicación, después de lo cual les cobran de más a través de suscripciones que a veces llegan a los $ 3,432 por año. Por lo general, estas aplicaciones no tienen una funcionalidad única y son simplemente conductos para estafas de fleeceware. Avast ha informado de las aplicaciones de fleeceware a Apple y Google para su revisión.

Las aplicaciones de fleeceware descubiertas consisten principalmente en aplicaciones de instrumentos musicales, lectores de palma, editores de imágenes, filtros de cámara, adivinos, lectores de códigos QR y PDF, y "simuladores". Si bien las aplicaciones generalmente cumplen con su propósito previsto, es poco probable que un usuario desee a sabiendas pagar una tarifa recurrente tan significativa por estas aplicaciones, especialmente cuando existen alternativas más baratas o incluso gratuitas en el mercado.

Parece que parte de la estrategia del fleeceware es dirigirse a un público más joven a través de temas divertidos y anuncios atractivos en las redes sociales populares con promesas de "instalación gratuita" o "descarga gratuita". Para cuando los padres noten los pagos semanales, es posible que el fleeceware ya haya extraído cantidades significativas de dinero.

Los datos son sorprendentes: con casi mil millones de descargas y cientos de millones de dólares en ingresos, este modelo está atrayendo a más desarrolladores y hay evidencia que sugiere que varias aplicaciones populares existentes se han actualizado para incluir la suscripción de prueba gratuita con altas tarifas recurrentes. Desafortunadamente, este esfuerzo puede ser lucrativo incluso si un pequeño porcentaje de usuarios es víctima del fleeceware.

¿Cómo funciona el fleeceware?

Fleeceware es un término acuñado recientemente que se refiere a una aplicación móvil que viene con tarifas de suscripción excesivas. La mayoría de las aplicaciones incluyen una breve prueba gratuita para atraer al usuario. La aplicación se aprovecha de los usuarios que no están familiarizados con el funcionamiento de las suscripciones en dispositivos móviles, lo que significa que se puede cobrar a los usuarios incluso después de haber eliminado la aplicación infractora.

La mayoría de las aplicaciones que nuestro equipo ha descubierto atraen a los usuarios con la promesa de una prueba gratuita de tres días, adjuntando una suscripción que comienza al final de la prueba. Una vez que finaliza la prueba, al usuario se le cobra una alta tarifa de suscripción recurrente, lo que genera ingresos sustanciales para los desarrolladores. Es importante destacar que la desinstalación de la aplicación no cancela la suscripción; como resultado, es probable que se le cobre más al usuario hasta que cancele la suscripción dentro de la configuración del mercado de aplicaciones de su dispositivo. También existe la posibilidad de que los usuarios se olviden de cancelar la prueba gratuita, lo que genera costosas tarifas. De cualquier manera, estas estafas hacen uso de un comportamiento engañoso que se basa en que el usuario no está informado sobre cómo funcionan las suscripciones y lo atrae al esquema a través de una prueba gratuita.

Al abrir la aplicación, los usuarios se encuentran con una prueba gratuita de tres días con una tarifa de suscripción recurrente adjunta.

Existe una amplia gama de suscripciones que utilizan estas aplicaciones de fleeceware, que van desde tarifas semanales y mensuales hasta tarifas anuales. En algunos casos, a los usuarios se les puede cobrar hasta 66 dólares por semana, lo que suma un ridículo monto de 3,432 dólares por año. La mayoría de las aplicaciones descubiertas oscilan entre 4 y 12 dólares por semana, lo que equivale a 208 a 624 dólares por año. No hace falta decir que es muy poco probable que los usuarios paguen voluntariamente esta cantidad por estas aplicaciones.

Una tendencia emergente es que varias aplicaciones populares se han convertido al modelo de fleeceware basado en suscripción. Las aplicaciones que antes eran gratuitas o requerían una tarifa única para desbloquear todas las funciones ahora ofrecen costosas suscripciones semanales. A juzgar por las revisiones, a veces los usuarios que han pagado previamente por la aplicación completa también se ven obligados a suscripciones de fleeceware sin tener acceso a la aplicación ya comprada. Es probable que más desarrolladores sigan su ejemplo, ya que los ingresos generados son evidentemente sustanciales.

Se utilizan anuncios y reseñas falsas para difundirlas

Como estas aplicaciones no se consideran malware y están disponibles en las tiendas de aplicaciones oficiales, también tienen acceso a los canales de publicidad oficiales para difundir el esquema de fleeceware. Según Ad Intelligence de Sensor Tower, estas aplicaciones se anuncian activamente en las principales redes sociales como Facebook, Instagram, Snapchat y TikTok. Debido a la naturaleza lucrativa de este esquema, es probable que los actores inviertan cantidades sustanciales de dinero para propagar aún más estas aplicaciones a través de plataformas populares.

Instantánea de un anuncio de video reproducido en Instagram.

Estos anuncios pueden mostrarse a una audiencia más joven potencialmente vulnerable que puede estar inclinada a probar estas aplicaciones. Las promesas de "instalación gratuita" o "descarga gratuita" están presentes en varios de estos anuncios. Los anuncios a menudo se basan en videos engañosos que no representan el producto para atraer a los usuarios.

Críticas aduladoras y positivas que probablemente sean falsas.

Una vez que el usuario hace clic en el anuncio, se le redirige al perfil de la aplicación en el mercado de aplicaciones del dispositivo respectivo. Aquí, el usuario se encuentra con un perfil de aplicación bien diseñado que a menudo tiene una revisión de cuatro o cinco estrellas. El perfil de la aplicación parece oficial y no genera señales de alerta a primera vista. Sin embargo, tras una investigación más detallada, se hace evidente que una gran parte de las reseñas son falsas (contienen texto que se repite o están mal redactadas y son de naturaleza genérica). Hay motivos para creer que esta forma de impulsar la revisión se está convirtiendo en una práctica más destacada.

Las reseñas genuinas muestran la consternación de la víctima

Otro efecto de las reseñas falsas es que inundan el feed de reseñas, lo que dificulta la detección de reseñas genuinas. Esta táctica afecta la capacidad del usuario para tomar una decisión informada sobre la aplicación en cuestión.

Al examinar el laberinto de reseñas falsas, una reseña ocasional de una estrella revela el impacto real de las aplicaciones de fleeceware. Los usuarios a menudo mencionan que eliminaron la aplicación; sin embargo, todavía fueron estafados. Otros mencionan cómo sus hijos descargaron la aplicación y probablemente se suscribieron a la prueba gratuita. Desafortunadamente, los padres a menudo sólo descubren el origen de los cargos semanas o meses después.

Algunos ejemplos de usuarios afectados que expresan sus opiniones sobre las exorbitantes suscripciones a aplicaciones.

Debido a la forma en que se manejan las suscripciones, Google y Apple no son responsables de los reembolsos de las suscripciones después de un cierto período de tiempo y redirigen a las víctimas a los desarrolladores de aplicaciones. Como lo demuestran las revisiones, los desarrolladores pueden simplemente optar por ignorar a los usuarios o reclamar el conocimiento del usuario sobre la tarifa de suscripción y negarse a reembolsar a las víctimas. Varios perfiles de desarrolladores que nuestro equipo descubrió enlaces a sitios web descontinuados o formularios de contacto. Con todo, parece que hay muy poco que las víctimas puedan hacer en estos escenarios además de contactar a su banco y solicitar un contracargo.

¿Cómo pueden las tiendas de aplicaciones combatir las estafas de fleeceware?

Google y Apple han estado mejorando la transparencia en torno a las compras dentro de la aplicación, además de realizar pagos a través de sus respectivas plataformas. Está claro que el modelo de suscripción es necesario para brindar soporte continuo a los desarrolladores legítimos. Sin embargo, como lo demuestran estas aplicaciones de fleeceware, los usuarios siguen siendo víctimas de tácticas de suscripción depredadoras y engañosas que les obligan a pagar cantidades de dinero irrazonables por aplicaciones que no ofrecen características únicas. 

Una solución simple al problema del fleeceware sería incluir un mensaje para cancelar las suscripciones al desinstalar aplicaciones con suscripciones activas. Es probable que este sea el resultado esperado para el usuario, ya que es poco probable que desee pagar una suscripción por una aplicación que ya no tiene en su dispositivo. Actualmente, Google tiene un mensaje de notificación que advierte a los usuarios sobre suscripciones activas para aplicaciones desinstaladas. Apple muestra un diálogo directo al usuario preguntándole si quiere mantener la suscripción. Incluso con estas precauciones, es evidente que las aplicaciones de vellón continúan generando ingresos.

Advertencias que muestran los dispositivos Android e iOS después de eliminar una aplicación con una suscripción activa.

Otra solución podría ser la confirmación del pago de la suscripción. Si el usuario acepta una prueba gratuita, la aplicación podría requerir otra confirmación antes de pagar dinero por la suscripción real una vez que finalice la prueba gratuita. En este escenario, la funcionalidad de la aplicación se detendría hasta que el usuario pague la tarifa requerida. Esto le daría al usuario control directo sobre los pagos de la suscripción y le permitiría tomar una decisión totalmente informada sobre cómo continuar con la suscripción.

Eliminar y filtrar las revisiones falsas y automatizadas también mejoraría la capacidad del usuario para tomar una decisión consciente sobre una aplicación. Como ya hemos explicado, actualmente es posible inundar el perfil de una aplicación con reseñas falsas y, de hecho, bloquear las reseñas negativas para que no sean prominentes (o incluso se muestren al usuario).

Finalmente, una mayor claridad sobre las compras dentro de la aplicación y la visualización de los cargos potenciales de una manera más destacada podría ayudar a los usuarios a decidir si la aplicación está cobrando precios justos. La visualización actual de los mensajes en la aplicación puede ser engañosa u oculta, y en combinación con la prueba gratuita, esto puede llevar al usuario a creer que solo se está registrando para obtener una suscripción gratuita. .

El resultado de estas aplicaciones de fleeceware es claramente negativo a largo plazo. Aparte del daño financiero infligido, los usuarios afectados por tales estafas estarán menos inclinados a descargar aplicaciones o interactuar con las tiendas de aplicaciones en general. Por lo tanto, estas aplicaciones de fleeceware tienen un impacto negativo en los desarrolladores legítimos que utilizan el modelo de suscripción de manera ética. Dicho esto, lo mejor para las tiendas de aplicaciones es proteger a sus usuarios y permitirles tomar decisiones claras sin temor a cargos excesivos.

Evitar las estafas de fleeceware

Dado que las suscripciones son cada vez más frecuentes en ambas tiendas de aplicaciones, los usuarios deben estar atentos al descargar y utilizar aplicaciones. Para evitar estas estafas, recomendamos seguir las pautas que se describen a continuación:

  • Tener cuidado con las pruebas gratuitas de menos de una semana. Las aplicaciones que ofrecen pruebas gratuitas de tres días deben manejarse con precaución. Asegúrate de comprender cuánto se te cobrará y asegúrate de que la aplicación valga la tarifa recurrente.

  • Leer la letra pequeña. El diablo está en los detalles. Lee atentamente el perfil de la aplicación en la tienda de aplicaciones, prestando especial atención a la sección "compras dentro de la aplicación". Familiarízate con las condiciones de lo que te estás suscribiendo, incluso si es una prueba gratuita. Una mirada más cercana probablemente revelará el precio real de la aplicación. Asegúrate de revisar también las reseñas de aplicaciones con atención.

  • Ser escéptico con los anuncios virales. Es probable que los anuncios de fleeceware tengan la apariencia de un video viral editado que no representa la aplicación real. Del mismo modo, los anuncios a menudo hacen declaraciones atractivas para atraer al usuario.

  • Comprando por ahí. Si los cargos por una aplicación parecen excesivos o no representativos de su oferta, busca otras aplicaciones que ofrezcan una funcionalidad similar. En muchos casos, las aplicaciones de fleeceware imitan aplicaciones similares que pueden ser más baratas (o incluso gratuitas).

  • Asegurar los pagos. Asegúrate de que tus métodos de pago estén bloqueados con una contraseña o un control biométrico. Esto también puede evitar suscripciones accidentales por parte de niños.

  • Hablar los peligros de estos artículos con su familia. Educar a tus hijos sobre cómo evitar posibles estafas y aplicaciones poco fiables puede ser de gran ayuda para prevenir cargos no deseados.

Qué hacer si eres víctima del fleeceware

iOS


Sigue los pasos a continuación, que se muestran en el sitio web de soporte de Apple :

1. Abre configuración

2. Selecciona tu nombre

3. Selecciona la opción suscripciones

4. Selecciona la suscripción que quieres administrar

5. Selecciona la opción cancelar suscripción.

Android

La página de soporte de Google explica los pasos para cancelar, pausar o cambiar las suscripciones. 

1. En tu Android abre Google Play Store

2. Revisa si la cuenta de Google es correcta

3. Selecciona el menú suscripciones

4. Selecciona la suscripción que deseas cancelar

5. Selecciona Cancelar suscripción

6. Sigue las instrucciones

 

Listas completas de aplicaciones de fleeceware

iOS

Avast ha identificado un total de 134 aplicaciones de fleeceware en la App Store de Apple.

Los datos de Sensor Tower estiman un total de 500 millones de descargas de estas aplicaciones. También estima que las aplicaciones han generado 365 millones de dólares en ingresos a lo largo de su vida.

Ver la lista completa de aplicaciones de fleeceware en iOS .

Android

Avast ha identificado un total de 70 aplicaciones de fleeceware en Google Play Store.

Los datos de Sensor Tower estiman un total de 500 millones de descargas de estas aplicaciones. También estima que las aplicaciones han generado 38,5 millones de dólares en ingresos durante su vida útil.

Ver la lista completa de aplicaciones de fleeceware en Android .