Tu móvil está trabajando para estafadores mientras duermes: parece que ha conseguido un trabajo extra sospechoso
Especialistas descubren la red fraudulenta Genisys que infectó 25 millones de dispositivos Android
Un teléfono inteligente está en el bolsillo, la pantalla apagada, el propietario no inicia nada, y el dispositivo en ese momento está generando dinero para estafadores. Los especialistas de IAS Threat Lab revelaron el esquema Genisys, que convirtió más de 25 millones de dispositivos en una fábrica oculta de tráfico publicitario.
Antes el equipo ya había descrito la operación Arcade, en la que aplicaciones móviles abrían sitios en el navegador integrado de forma secreta y aumentaban artificialmente las visitas. Tras la publicación, los especialistas continuaron la vigilancia y notaron una nueva infraestructura con un comportamiento distinto de los dominios y del tráfico. Así identificaron una red separada llamada Genisys.
Genisys se integraba directamente en aplicaciones habituales para Android. Los programas iniciaban actividad en segundo plano sin el conocimiento del propietario, consumían recursos computacionales y tráfico de internet, y a cambio no ofrecían ningún beneficio. Los dispositivos cargaban sitios en ventanas ocultas del navegador integrado, creando la apariencia de visitas reales y de impresiones de anuncios.
La principal diferencia entre Genisys y Arcade está relacionada con los sitios. Si antes los estafadores usaban páginas de juegos y entretenimiento, ahora casi 500 dominios fueron creados con herramientas generativas basadas en inteligencia artificial. Los sitios parecían blogs, portales de noticias o recursos informativos, pero funcionaban como una línea de montaje para lavar el tráfico procedente de las aplicaciones.
Al revisar masivamente se aprecia una estructura uniforme, plantillas de artículos repetidas y diferencias mínimas en el diseño. El nombre de dominio cambia, el logotipo es distinto, y el resto casi copia a los sitios vecinos. Las herramientas generativas permitían crear rápidamente nuevas plataformas y cambiar direcciones de forma regular, eludiendo métodos tradicionales de detección.
Genisys además enredaba la situación mediante la suplantación de identificadores de aplicaciones. El tráfico hacia los dominios fraudulentos supuestamente provenía de cientos de programas distintos, incluidos algunos con decenas o cientos de millones de instalaciones. El análisis mostró que esos datos no correspondían con la realidad. Un pequeño grupo de aplicaciones generaba la actividad oculta, y los identificadores falsos creaban ruido e impedían hallar la fuente real.
En el esquema participaron decenas de aplicaciones con distintos nombres. Una parte significativa de los programas se disfrazaba como utilidades de limpieza de memoria, lectores de PDF, linternas, juegos y servicios de fitness. Muchos desarrolladores ya habían aparecido en infracciones anteriores. Tras la eliminación de ciertas aplicaciones, aparecían nuevas en la plataforma con comportamiento similar.
Genisys expandió rápidamente su alcance geográfico. En septiembre la actividad principal se registró en América del Norte, y para fin de año el tráfico se distribuía de manera estable entre países de la región de Asia y el Pacífico, América Latina y Europa, Oriente Medio y África. Cada mes se añadían 2–3 nuevos países a la lista, lo que indica una escalada deliberada.
IAS Threat Lab entregó los datos a Google. Tras la verificación, las versiones fraudulentas de las aplicaciones fueron eliminadas de la tienda Google Play. El sistema de protección Google Play Protect empezó a advertir a los propietarios de dispositivos y a desactivar automáticamente los programas relacionados con Genisys, incluso si el usuario instaló la aplicación desde una fuente externa.
Después del bloqueo, el volumen de solicitudes publicitarias de las aplicaciones afectadas cayó más de un 95% y se mantuvo casi en un nivel nulo. La caída sincronizada mostró el carácter centralizado de la red.
La historia de Genisys demuestra una nueva etapa en la evolución del fraude publicitario a gran escala. En lugar de sitios reales, los delincuentes construyen un ecosistema sintético de cientos de dominios creados con ayuda de la inteligencia artificial, y luego enmascaran la fuente del tráfico como cientos de aplicaciones populares. Mientras las plataformas y los desarrolladores no bloqueen de forma sistemática a los reincidentes, esquemas similares volverán en versión renovada.