Apps falsas, virus y estafas acechan a los jugadores de Pokemon Go

Los delincuentes informáticos también han entrado en la fiebre Pokemon Go, pero no para cazar monstruos sino datos de usuarios, sobre todo sus tarjetas de crédito. Casi todas las empresas e instituciones de seguridad informática, e incluso la Guardia Civil, han alertado de aplicaciones que suplantan la original de Pokemon Go o sugieren trucos y estrategias para el juego, cuando en realidad transportan ‘malware’ o virus que buscan el control del móvil del jugador. En su mayoría, son ofrecidas en páginas web ajenas a las tiendas oficiales de Android (Google Play) o de Apple (Apple Store), pero alguna ha entrado en el canal oficial. 

{"zeta-legacy-key":{"title":"C\u00d3MO NO SER V\u00cdCTIMA","keys":[{"title":"Tiendas oficiales","description":"\u00a0Aunque tampoco es garant\u00eda plena, mejor descargar aplicaciones s\u00f3lo de las tiendas oficiales y optar por las que tienen m\u00e1s descargas y comentarios."},{"title":"Revisar permisos","description":"\u00a0Al instalar una aplicaci\u00f3n, limitar al m\u00e1ximo los permisos que les \u00a0concedemos (contacto, c\u00e1mara, notificaciones...) y si no nos convencen los que solicita, mejor no instalarlas. Siempre es mejor a\u00f1adir un permiso que permitir que alguien se copie todos nuestros contactos.."},{"title":"Limitar los pagos","description":"\u00a0Configurar la opci\u00f3n de solicitar contrase\u00f1a al realizar pagos desde el m\u00f3vil."},{"title":"Instalar actualizaciones","description":"\u00a0Mantener siempre la \u00faltima versi\u00f3n del juego y del sistema operativo"},{"title":"Usar otra identidad en juegos","description":"\u00a0Si se tienen varias cuentas de correo, intentar vincular la menos habitual a los juegos para evitar accesos a demasiados datos."}]}}

En principio, los ciberdelincuentes utilizaron como estrategia la impaciencia de tener el juego antes que nadie. El pasado fin de semana, la app, que reconvertía en versión móvil la serie de juegos de consolas más vendida de Nintendo, alcanzó los 100 millones de descargas. Según la consultora App Annie, que aporta el dato, el juego supone unos ingresos para sus creadores (Nintendo, The Pokemon Company y Niantic, una empresa surgida de Google) de 10 millones de dólares al día gracias a las compras dentro de la app, y sin que funcione todavía en mercados como China o Brasil.

Lo que no se ha calculado es cuánto han podido obtener los ciberdelincuentes captando datos que luego se usan para 'spam', ataques dirigidos de 'phishing' o suplantaciones de identidad. O simplemente, dirigiendo visitas a páginas llenas de anuncios cuyos ingresos revierten en los malhechores.

Un par de días antes de que se lanzara la versión para Australia (6 de julio) y EEUU (el 7), apareció una falsa app Pokemon para Android que instalaba un viejo conocido de los investigadores en seguridad: el ‘malware’ ‘Droidjack’. Un programa pensado para lograr controlar un móvil ajeno que capta todo tipo de información, desde las cuentas, los contactos telefónicos del usuario, la actividad del uso y las coordenadas GPS. Además, también puede hacer llamadas o activar la cámara del móvil y el micrófono.

APPS QUE OFRECEN TRUCOS

Otro ataque, dirigido a los usuarios hispanohablantes (en España se pudo descargar oficialmente desde el 15 de julio pero en muchos países de América Latina como Brasil o Argentina todavía no existe oficialmente), era la app Install Pokemongo, que se vendía en la Google Play, y que según la compañía de seguridad Fireeye, instalaba un montón de anuncios molestos que no había forma de sacar y que se iban refrescando para generar ingresos a sus autores. La app fue retirada por Google dos días después (esta compañía, a diferencia de Apple, no revisan las apps previamente) pero, según Fireeye, ya había tenido entre 5.000 y 10.000 descargas.

Para los países donde ya se cazan Pokemon con permiso de Nintendo y Niantic, los ciberdelincuentes han cambiado la estrategia y ahora ofrecen apps de trucos o pistas del juego, una función que muchos jugadores han echado en falta en la app oficial. Una aplicación falsa fue Pokemon Go Ultimate, que también estuvo disponible en la Google Play, según denunció Trend Micro. La aplicación bloqueaba la pantalla del móvil haciendo que el usuario optara por reiniciar el teléfono e instalara, sin querer, Un programa que se conectaba a páginas webs fraudulentas también para hacer clics sobre anuncios. O que decían que el móvil estaba infectado y pedían al usuario que descargara un antivirus “caro y que no servía para nada”, según Trend Micro.

WEBS CON MONEDAS FALSAS

Otras webs que han sido cerradas por las quejas desde los equipos jurídicos de Niantic han sido PokemonPromo.com o PokemonGopromo.com que prometían acceso pervio pago monstruos difíciles de localizar, pero que eran en realidad estafas. Y se han denunciado páginas que apelaban a la comunidad de jugadores reclamando dinero para crear software que ayudara en el juego.

Conseguir monedas para comprar Pokemon ('pokecoins') fuera de la app es también el gancho de algunas webs que ofrecen encuestas en las que hay que dar datos personales, que pueden después terminar en listas de spam o de intentos de engaño. Algunos también piden que el jugador comparta un mensaje con enlace en Facebook y en Twitter para conseguir más 'pokecoins'. Las monedas no se reciben nunca y el incauto usuario ha ayudado con su enlace a difundir un virus para tomar control del móvil, advierte Symantec.