Más de 300 aplicaciones maliciosas se infiltraron en Google Play, acumulando alrededor de 60 millones de descargas sin levantar sospechas. Estas apps, identificadas como parte de una campaña llamada Vapor, no solo mostraban publicidad invasiva para generar ingresos fraudulentos, sino que también intentaban robar credenciales e información de tarjetas de crédito.
Se estima que esta operación, activa desde principios de 2024, llegó a generar hasta 200 millones de solicitudes diarias de ofertas publicitarias falsas, una táctica utilizada para ejecutar fraudes a gran escala.
Un reciente informe reveló que el número de aplicaciones maliciosas conocidas como Vapor Apps ha aumentado a 331, con un alto número de infecciones registradas en países como Brasil, Estados Unidos, México, Turquía y Corea del Sur.
Según el informe, estas apps no solo bombardean a los usuarios con anuncios molestos fuera de contexto, sino que también intentan engañarlos para que revelen sus credenciales e información de tarjetas de crédito mediante ataques de phishing.
Aunque Google Play ya eliminó todas estas aplicaciones de su plataforma, el riesgo no ha desaparecido del todo. Los ciberdelincuentes detrás de Vapor Apps han demostrado que pueden burlar los controles de seguridad de Google, por lo que es muy probable que intenten volver a infiltrarse con nuevas apps en el futuro.
Apps 'Vapor' en Google Play
Las Vapor Apps que lograron colarse en Google Play se disfrazaban de herramientas útiles y especializadas, como aplicaciones de salud y fitness, diarios y bloc de notas, optimizadores de batería e incluso lectores de códigos QR.
Lo que las hace tan engañosas es que, al principio, parecen completamente normales. Ofrecen las funciones que prometen y no muestran signos de ser maliciosas cuando se envían a la tienda de Google. Sin embargo, una vez que las instalas, estas apps reciben una actualización desde un servidor externo (conocido como C2 o Command and Control) que activa su lado oscuro: malware diseñado para mostrar anuncios invasivos o robar tus datos personales.
Aplicaciones maliciosas en Google Play
Entre las aplicaciones identificadas como parte de esta campaña, destacan varias que lograron acumular miles e incluso millones de descargas:
- AquaTracker – 1 millón de descargas
- ClickSave Downloader – 1 millón de descargas
- Scan Hawk – 1 millón de descargas
- Water Time Tracker – 1 millón de descargas
- Be More – 1 millón de descargas
- BeatWatch – 500.000 descargas
- TranslateScan – 100.000 descargas
- Localizador de teléfonos – 50.000 descargas
Estas aplicaciones se subieron a Google Play desde múltiples cuentas de desarrollador. Cada cuenta publicaba solo unas pocas apps para minimizar el impacto si alguna era detectada y eliminada. Además, los creadores de estas apps usaban distintos SDK de anuncios en cada una, dificultando aún más su rastreo. La mayoría de estas Vapor Apps se publicaron entre octubre de 2024 y enero de 2025, aunque algunas siguieron apareciendo hasta marzo de 2025.
Envíos de aplicaciones Vapor en Google Play (Fuente: Bitdefender)
Podría interesarte leer: Badbox 2.0: La Botnet que Infectó un Millón de Dispositivos
¿Cómo funcionan las apps maliciosas 'Vapor'?
Las Vapor Apps no solo engañan a los usuarios con funciones falsas, sino que también emplean técnicas avanzadas para ocultarse en el sistema y operar sin ser detectadas.
Una vez instaladas, estas aplicaciones desactivan su icono en el menú de inicio utilizando un truco en el archivo de configuración del sistema (AndroidManifest.xml). Esto las vuelve invisibles para el usuario. En algunos casos, incluso se renombran en la configuración del sistema con nombres como Google Voice para parecer legítimas.
Lo preocupante es que estas apps se activan automáticamente, sin que el usuario tenga que abrirlas. Utilizan código nativo para iniciar un componente oculto que les permite seguir funcionando, manteniendo su icono fuera de la vista para evitar ser desinstaladas fácilmente.
¿Cómo evaden las protecciones de Android?
Estas aplicaciones también aprovechan vulnerabilidades en Android 13 y versiones posteriores para eludir medidas de seguridad que normalmente impiden que una app desactive su propia actividad de inicio.
Además, las Vapor Apps burlan las restricciones del permiso SYSTEM_ALERT_WINDOW, que controla las ventanas flotantes en Android. Gracias a esto, crean una pantalla superpuesta que ocupa toda la pantalla del dispositivo, mostrando anuncios invasivos que el usuario no puede cerrar, ya que el botón "Atrás" queda desactivado.
Para colmo, estas apps se eliminan automáticamente de la lista de "Tareas recientes", dificultando que el usuario identifique cuál fue la aplicación que lanzó el anuncio molesto.
Algunas de estas apps no se limitan solo a mostrar publicidad invasiva. En ciertos casos, despliegan pantallas de inicio de sesión falsas de plataformas como Facebook o YouTube, diseñadas para robar credenciales. También pueden intentar engañar a los usuarios para que ingresen información de tarjetas de crédito bajo diversos pretextos.
¿Qué puedes hacer para protegerte?
Para mantener tu dispositivo seguro, sigue estos consejos:
- Evita instalar apps innecesarias y desconfía de desarrolladores desconocidos.
- Revisa los permisos que solicitan las apps antes de instalarlas; si algo parece excesivo o sospechoso, es mejor no continuar.
- Compara tu lista de apps instaladas (en Configuración → Aplicaciones → Ver todas las aplicaciones) con las que aparecen en tu menú principal. Si hay alguna que no puedes ver en tu pantalla de inicio, investiga más a fondo.
Si crees que has descargado una de estas aplicaciones, elimínala de inmediato y realiza un análisis completo del sistema con Google Play Protect o cualquier otra herramienta de seguridad confiable. La lista completa de las 331 aplicaciones maliciosas detectadas está disponible para consulta, así que te recomendamos revisarla para verificar si alguna estuvo en tu dispositivo.
