Dentro de la estafa APK: cómo se utilizan aplicaciones falsas para el fraude financiero
La historia hasta ahora:
THousands de indios con teléfonos celulares están perdiendo dinero después de responder una llamada o hacer clic en un mensaje. A veces comienza con una llamada telefónica: tranquila, educada y urgente. La voz en el otro extremo advierte de una cuenta bancaria bloqueada, un subsidio gubernamental perdido o una factura de electricidad pendiente. Momentos después, sigue un mensaje con un enlace a una aplicación que promete una solución rápida. La aplicación parece oficial, lleva el logotipo de una institución de confianza e instala sin problemas. El usuario otorga algunos permisos de rutina (contactos, SMS, notificaciones) sin darse cuenta de que, en ese instante, su teléfono se había convertido en una bóveda abierta.
¿Qué sucede después de que los usuarios instalen la aplicación?
En menos de 10 minutos, el dinero comienza a desaparecer de las cuentas bancarias. Los depósitos fijos se cierran prematuramente y se interceptan OTP. La aplicación, que ahora se ejecuta en segundo plano, monitores, refleja y minera todo, desde ubicaciones hasta mensajes privados. El usuario desconoce hasta que es demasiado tarde. Y para cuando se busca ayuda, los fondos han viajado a través de capas de lavado digital, imposible de recuperar.
El fraude de APK es una de las amenazas de delito cibernético de más rápido crecimiento en el país hoy. El portal nacional de informes de delitos cibernéticos ha registrado 12,47,393 tipos diferentes de casos en los últimos seis meses. El parlamento ha sido informado de que ha habido un salto del 900% en los delitos cibernéticos entre 2021 y 2025. Los datos de la Oficina de Seguridad Cibernética de Telangana (TGCSB) revelaron que un total de 2.188 casos de este tipo se informaron entre enero y julio de 2025, lo que condujo a pérdidas de ₹ 779.06 Crore. Las autoridades dijeron que se informan de 20 a 30 casos de este tipo todos los días, con pérdidas financieras diarias entre ₹ 10 y ₹ 15 lakh. En estafas de alto riesgo como la inversión y los negocios, las pérdidas pueden subir a ₹ 30 a ₹ 40 lakh. Estas estafas, impulsadas por archivos de Kit de paquetes de Android (APK) malicioso, explotan la confianza pública en los sistemas digitales al tiempo que utilizan herramientas técnicas sofisticadas para mantenerse sin ser detectados y operativos en todas las líneas estatales.
¿Cómo funciona el fraude?
Los archivos APK en dispositivos Android son muy parecidos a los archivos .exe en las computadoras de Windows; Ambos se utilizan para instalar aplicaciones, y ambos pueden ser explotados por estafadores para difundir malware.
Los estafadores construyen o obtienen estas aplicaciones para imitar la apariencia y el lenguaje de los portales oficiales, incluidos los esquemas de subsidio gubernamental como PM-Kisan, plataformas de reembolso de impuestos, juntas de electricidad o bancos que solicitan actualizaciones de KYC. Estas aplicaciones falsas a menudo se distribuyen a través de plataformas de redes sociales como WhatsApp, acompañadas de mensajes convincentes que instan a los usuarios a actuar de inmediato.
Los desarrolladores utilizan técnicas de cifrado que ocultan el código malicioso de las herramientas de detección. Al permanecer latente durante la instalación, estos APKS Sidestep escanean a través del software antivirus. Una vez descargada, la aplicación busca múltiples permisos, incluido el acceso a contactos, mensajes, registros de llamadas, ubicación, micrófono y notificaciones.
La aplicación obtiene acceso a los archivos de programa del teléfono, recolecta datos en tiempo real y los transmite en bits cifrados a servidores externos operados por estafadores. Estos bits, aunque son ilegibles para los usuarios comunes, están decodificados para extraer información valiosa, incluidas las credenciales bancarias, OTP, contactos y coordenadas de ubicación, entre otras.
¿Quién opera estas aplicaciones?
Los estafadores que circulan a estos APK rara vez son los que los construyen. En cambio, estas aplicaciones son parte de una economía subterránea bien estructurada. Los funcionarios del delito cibernético estiman que el 60 al 70% de los APK maliciosos utilizados en la India son desarrollados localmente por mente maestra experta en tecnología en Delhi Ncr, Meerut, Uttar Pradesh, Jamtara y partes de Jharkhand. El 30-40% restante se originan internacionalmente, con rastros que conducen a los Estados Unidos, el Reino Unido y China. Los canales de telegrama y los mercados web oscuros sirven como canales principales de distribución, ofreciendo kits y módulos APK pre-construidos por una tarifa.
Una vez en circulación, el mismo archivo APK se reutiliza con modificaciones menores en la interfaz (nombre, logotipo y URL o dirección web del archivo), lo que le permite evitar la detección incluso después de que las versiones anteriores estén en la lista negra.
Los oficiales de delito cibernético dicen que en cientos de casos de estafas cada mes, solo se encuentran alrededor de 10 archivos APK distintos, señalando la reutilización generalizada de algunas aplicaciones maliciosas.
¿Cómo se dirigen los usuarios?
La elección de la víctima es cualquier cosa menos aleatoria. Al igual que un reconocimiento antes de un crimen físico, los estafadores cibernéticos llevan a cabo una extensa vigilancia digital antes de atacar.
“Los estafadores compran bases de datos filtradas, obtenidas de directorios de clientes de centros comerciales, hospitales o portales de servicio, fácilmente disponibles en la web oscura, telegrama o incluso motores de búsqueda locales como solo marcar”, dijo un funcionario de TGCSB. “Estos conjuntos de datos incluyen nombres, números de teléfono, ID de correo electrónico, direcciones y, a veces, incluso los detalles de ingresos o profesionales, que ayudan a los delincuentes a personalizar su enfoque”, explicó el funcionario.
Los profesionales de alta ganancia, incluidos médicos, personal bancario, maestros y agentes inmobiliarios, a menudo están en la mira. Utilizando información parcial ya conocida sobre el objetivo, los estafadores crean mensajes urgentes convincentes diseñados para manipular la confianza y la acción rápida.
¿Cómo abordan los investigadores el problema?
Cuando se incautan una aplicación fraudulenta, los equipos de forense cibernético la descifraron para rastrear los orígenes del servidor o identificar las firmas de desarrolladores. Pero los resultados son mixtos. Solo 2-3 de cada 10 APK se descifran con éxito. La mayoría revela solo las direcciones del servidor o estructuras de código general. Raramente los archivos contienen firmas de desarrollador identificables.
Incluso cuando se siguen los senderos financieros, generalmente terminan en cuentas de mulas, cuentas temporales bancarias o billeteras utilizadas para recibir fondos robados, que se convierten rápidamente en criptomonedas. Los arrestos ocurren, particularmente de cómplices locales que administran estas cuentas de mulas o distribuyen los APK. Pero los autores intelectuales y los codificadores, especialmente aquellos en alta mar, siguen siendo difíciles de alcanzar.
Google ha eliminado casi 50 aplicaciones maliciosas en los últimos meses según los informes de los investigadores. “Google o cualquier otro intermediario no analiza todas las aplicaciones que se alojan en su servidor. Los estafadores también usan cuentas de mulas e identidades de shell para pagar el alojamiento y la publicación en los motores de búsqueda”, explicó el funcionario.
