android apps fleeceware

Vuelvo con otra pieza de #MundoHacker, esta vez hablando de una tipología de fraudes que quizás no son tan conocidos, pero que a día de hoy tienen un impacto bastante significativo en las arcas de los cibercriminales.

Hablamos del Fleeceware.

¿Que no sábes de qué estamos hablando?

Pues sigue leyendo, que se te van a abrir los ojos como platos :D.

Algunos apuntes sobre el impacto de la psicología del pricing en los fraudes

Aquellos que nos dedicamos a los negocios (sean digitales o no) sabemos que hay un elemento crítico a la hora de que el potencial cliente tome una decisión de compra.

Ese elemento es, por supuesto, el coste.

Y ojo, que pese a lo que piensa la mayor parte de la sociedad, un precio superior no siempre desincentiva la compra. Es más, con el precio se suele jugar precisamente para atraer una u otra tipología de cliente distinto.

  • A menor precio las ventas suelen aumentar… pero en un estrato de la sociedad con menor poder adquisitivo que además, y por su propia ideosincrasia, tiende a valorar peor la compra (suelen ser peores clientes, para que nos entendamos).
  • A mayor precio las ventas deberían disminuir… a no ser que te enfoques precisamente en estratos económicos superiores, con una tipología de cliente que, de nuevo generalizando, suele ser «mejor» cliente.

Y todo esto se debe a la propia psicología que hay detrás del pricing.

Aunque sea inconscientemente valoramos de forma distinta dos productos que por características son idénticos si uno vale más que otro.

El valor de un producto o servicio juega un papel determinante a la hora de elegir, pero también a la hora de explotarlo:

Es exactamente lo mismo que pasa con las «suscripciones» de los gimnasios. Que al pagar una especie de tarifa plana (ven cuando quieras y el tiempo que quieras a hacer deporte) y no pagar exactamente por cada entreno, se aumentan beneficios sin que realmente se exploten más las instalaciones.

Exactamente lo mismo que nos ocurre cuando vemos una película en Netflix o disfrutamos de un videojuego que nos ha salido gratis (bien sea porque en efecto lo conseguimos en una promoción temporal o porque estamos suscritos a un servicio de tarifa plana), a diferencia de cuando hacemos lo mismo con una película por la que hemos pagado (por ejemplo al ir al cine) o por un juego que hemos comprado (un lanzamiento reciente).

Es exactamente el mismo producto o servicio. Solo que la concepción que tenemos de él dista mucho según el impacto económico que conlleve.

Y esto por supuesto también se está explotando a nivel del cibercrimen.

¿Qué es el Fleeceware?

Hechas las presentaciones anteriores, hablamos de fleeceware como todos esos productos o servicios (normalmente aplicaciones móviles, aunque también pueden ser simplemente herramientas online) que tienen unos precios inflados artificialmente, y mediante los cuales al usuario se le engaña para cobrarles una suscripción o un pago único que a priori no estaba contemplado.

Hace ya unos meses traté en profundidad una aplicación de supuesta Quiromancia que es el ejemplo perfecto de fleeceware, y que ocultaba su fraude argumentando que «era una simple broma».

En septiembre del año pasado por Sophos (EN) anunciaron el descubrimiento de varias aplicaciones de calculadora, escáneres de código QR, editores de fotos y en definitiva aplicaciones de uso muy extendido que utilizaban esta estrategia para engañar a las víctimas.

Básicamente la premisa era semejante en todas ellas:

  • El gancho: Las aplicaciones tenían un coste altísimo (algunas incluso llegaban a los 200 euros al mes), pero se concedía una prueba gratuita de 3 o 7 días.
  • La víctima: El usuario entonces, a sabiendas de que muchas de estas aplicaciones simplemente las necesitas en un momento dado, la descargaba, la utilizaba para lo que necesitara, y luego, bien sea porque en efecto ya no la necesitaba o porque directamente la aplicación no ofrecía lo que prometía, la desinstalaba antes de que pasasen esos días de prueba (muchas veces incluso a los pocos minutos).
  • El fraude: Pese a que el usuario la había desinstalado, los cibercriminales ya se habían encargado de suscribirle en el primer momento en el que la abrieron, seguramente bajo alguna excusa («acepta los siguientes permisos», llevando a la víctima a la página de suscripción de Android/iOS, o «para empezar a utilizar esta aplicación debes aceptar la suscripción GRATUITA», cuando realmente no era así).
Fleeceware Android apps

¿Pero esto no es un malware más?

Lo cierto es que técnicamente hablando no estamos ante una tipología de malware, sino de fraude.

Estas aplicaciones no solicitan permisos extra ni ofuscan en su código algún tipo de ataque informático. Simplemente utilizan el desconocimiento de la mayoría de usuarios para engañarles y suscribirlos a servicios de pago, como ocurre con los fraudes basados en SMS premium.

De hecho la única normativa que tienen que tener en cuenta en cada plataforma son los límites máximos del coste por suscripción (ES), que difiere según el país donde opere. En EEUU por ejemplo una aplicación puede pedir un máximo de 400 dólares. En Europa, 350 euros. Indistintamente de si la aplicación es una suite de ofimática, un juego… o una simple linterna.

Y eso es posible precisamente porque el usuario de a pie no es consciente de que cuando desinstalamos una aplicación, realmente no estamos también desuscribiéndonos a su servicio. Algo que además no tendría sentido ya que puede que no quieras seguir utilizando su aplicación pero sí, por ejemplo, su versión web, y algo que tanto para Google Play como para la App Store le resultaría imposible de verificar.

¿Qué podemos hacer para protegernos del fleeceware?

Pues aquí hay dos acercamientos:

Desde el punto de vista de las plataformas…

Lo obvio sería que cuando un usuario desinstala una aplicación que está asociada a un servicio de suscripción, se le informe y pregunte si quiere además desuscribirse de ese servicio.

Esto es algo que, en vista de la proliferación de este tipo de fraudes en los últimos años, Apple ha empezado a hacer en iOS13.

Hasta donde yo sé en Android aún no está habilitado.

Desde el punto de vista del usuario…

  1. Utilizar el sentido común: Que es, lamentablemente, el menos común de todos los sentidos. ¿Es normal que una aplicación de linterna, por muy chula que sea, cueste 50 euros al mes? Pues no. Y si es que no ni la descargues. Aunque parezca muy jugoso la opción de utilizarla gratuitamente durante 7 días.
  2. ¿Qué han dicho el resto de usuarios sobre la herramienta y/o el desarrollador? Las valoraciones en este tipo de markets son relativamente fiables, así que aprovéchalas. Basta con bajar un poco el scroll en la página de descripción del producto para observar qué opinan los usuarios que la han probado. Y no está tampoco de más hacer lo propio con la página de los desarrolladores.
  3. Desinstalar no es lo mismo que desuscribirse: En última instancia, si hemos descargado algo que tenía implícito un sistema de suscripción, hay que recordar que solo con desinstalar la herramienta no conseguimos anular la suscripción. Para ello tienes que ir a la sección de gestión de suscripciones y anular las que no corresponda:
    • En Android, vamos a play.google.com (ES), clicamos en Mis suscripciones, seleccionamos la suscripción que queremos cancelar y le damos a Gestionar > Cancelar suscripción.
    • En iOS/iPadOS, vamos a Ajustes > [nuestro nombre] > Suscripciones, pulsamos en la suscripción que queremos cancelar y le damos a Cancelar suscripción.

[email protected] quedas G.G.

________

Puedes ver más artículos de esta serie en #MundoHacker, donde tratamos en varios tutoriales las medidas para atacar y/o defenderse en el mundo digital.

Y si el contenido que realizo te sirve para estar actualizado en tu día a día, piensa si merece la pena invitarme a lo que vale un café, aunque sea digitalmente.