La eliminaciĆ³n de apps en Google Play no es algo puntual ni anecdĆ³tico: forma parte de una estrategia constante de limpieza y control con la que Google intenta que Android siga siendo un entorno relativamente seguro, pese a los millones de aplicaciones que se suben y actualizan cada aƱo. Lo que no siempre se ve desde fuera es hasta quĆ© punto esta criba es masiva y quĆ© tipos de apps terminan cayendo.
En los Ćŗltimos aƱos hemos visto retiradas por fraude publicitario, malware, apps basura, violaciones de derechos de autor, contenidos ofensivos y simples chapuzas tĆ©cnicas que no cumplĆan el mĆnimo de calidad. AdemĆ”s, la compaƱĆa estĆ” reforzando este proceso con inteligencia artificial, nuevas funciones de seguridad como la detecciĆ³n de amenazas en vivo y una polĆtica cada vez mĆ”s estricta con desarrolladores reincidentes. Vamos a repasar, caso por caso, los ejemplos mĆ”s llamativos y las seƱales que te ayudan a saber si algo raro estĆ” pasando en tu mĆ³vil.
Grandes campaƱas de fraude publicitario: SlopAds e IconAds
Uno de los frentes mĆ”s serios para Google Play en los Ćŗltimos tiempos han sido las campaƱas masivas de fraude publicitario orquestadas a travĆ©s de apps aparentemente legĆtimas. AquĆ destacan dos operaciones destapadas por el equipo Satori Threat Intelligence de HUMAN: SlopAds e IconAds.
En el caso de SlopAds, los investigadores identificaron 224 aplicaciones maliciosas alojadas en la propia Play Store, no en repositorios oscuros ni webs de dudosa reputaciĆ³n. Entre todas sumaban mĆ”s de 38 millones de descargas y eran capaces de generar alrededor de 2.300 millones de peticiones de anuncios al dĆa, un volumen descomunal de impresiones falsas que habrĆa supuesto pĆ©rdidas millonarias para los anunciantes.
La clave de SlopAds era su modus operandi silencioso y muy sofisticado. Las aplicaciones funcionaban de forma normal tras la instalaciĆ³n, pero si el usuario pinchaba en un anuncio concreto relacionado con la campaƱa antes de bajarlas, se activaba una especie de Ā«interruptorĀ» oculto. A travĆ©s de Firebase Remote Config, las apps descargaban un archivo de configuraciĆ³n cifrado con enlaces a mĆ³dulos maliciosos y a servidores de mando y control.
Ese archivo daba paso a una segunda fase: el malware descargaba varias imĆ”genes PNG en apariencia inocentes, que en realidad contenĆan en fragmentos el cĆ³digo de un mĆ³dulo llamado Ā«FatModuleĀ». Una vez recombinado y ejecutado, este componente levantaba WebViews invisibles en el dispositivo, como si fueran portales de juegos o noticias, y se dedicaba a mostrar publicidad en segundo plano para generar clics falsos sin que el usuario viera nada.
Google acabĆ³ eliminando todas las apps implicadas en SlopAds de la tienda y actualizĆ³ Play Protect para detectar este patrĆ³n, asegurando que los dispositivos afectados quedaban protegidos. Pero los expertos de HUMAN advirtieron que los responsables tenĆan planes para escalar la operaciĆ³n y que es probable que intenten volver con variantes similares, asĆ que la amenaza estĆ” lejos de haber desaparecido del todo.
Algo parecido ocurriĆ³ con IconAds, otra campaƱa de gran alcance que llevĆ³ a Google a borrar mĆ”s de 350 aplicaciones fraudulentas de la Play Store. En este caso, los ciberdelincuentes se apoyaban en tĆ”cticas modernas como el robo de credenciales de desarrolladores legĆtimos o la compra de apps ya existentes que tenĆan buena reputaciĆ³n, para despuĆ©s incrustar cĆ³digo malicioso en actualizaciones posteriores.
Las apps vinculadas a IconAds eran expertas en camuflaje: modificaban su icono, lo ocultaban o lo sustituĆan por otros sĆmbolos genĆ©ricos para que el usuario no pudiera encontrarlas con facilidad y, por tanto, tampoco desinstalarlas. Mientras tanto, inundaban el telĆ©fono de publicidad agresiva y se mantenĆan activas en segundo plano.
En total se detectaron 352 aplicaciones relacionadas, cuyos nombres parecĆan inofensivos (por ejemplo, combinaciones de palabras genĆ©ricas como Ā«character.word.lexi.statĀ» o Ā«com.animal.kitten.selfieĀ»). Aunque Google las retirĆ³ de la tienda y Play Protect bloquea sus nuevas instalaciones, las apps ya instaladas no desaparecen solas: el usuario debe localizarlas y eliminarlas manualmente. Human Security mantiene un listado pĆŗblico de estas apps para que cualquiera pueda comprobar si tiene alguna instalada.
Topes de seguridad: cifras de apps bloqueadas y el papel de la IA
MĆ”s allĆ” de casos concretos, Google realiza una limpieza masiva y continua de aplicaciones potencialmente daƱinas o de baja calidad. Solo en un aƱo reciente se bloquearon alrededor de 2,3 millones de envĆos de apps a la Play Store, frenando su publicaciĆ³n antes de que llegaran a los usuarios.
En paralelo, la compaƱĆa cerrĆ³ unas 158.000 cuentas de desarrolladores por intentar distribuir spyware, malware u otros tipos de software peligroso. En ejercicios previos, las cifras han sido similares o incluso mĆ”s altas, con picos de mĆ”s de 2,28 millones de apps bloqueadas y mĆ”s de 300.000 perfiles de desarrollador vetados cuando se detectaban abusos reiterados o patrones de comportamiento sospechosos.
Una parte importante de este esfuerzo viene impulsada por la inteligencia artificial que asiste a las revisiones humanas. SegĆŗn datos de la propia Google, mĆ”s del 90 % de las decisiones de revisiĆ³n de apps potencialmente daƱinas ya cuentan con el apoyo de modelos de IA, lo que permite actuar de manera mĆ”s rĆ”pida y precisa. Esto ha ayudado a cortar de raĆz muchas amenazas antes siquiera de que aparezcan en la tienda.
Gracias a este filtrado, tambiĆ©n se ha reducido la concesiĆ³n de permisos que no tienen sentido: se han evitado mĆ”s de 1,3 millones de apps con solicitudes de permisos excesivos que habrĆan dado acceso injustificado a datos sensibles como contactos, ubicaciĆ³n, micrĆ³fono o cĆ”mara.
Aun asĆ, Google insiste en que Play Protect y las revisiones automĆ”ticas no son infalibles. Cada dĆa se analizan del orden de cientos de miles de millones de aplicaciones y actualizaciones, y algunas amenazas logran colarse. Por eso las recomendaciones habituales siguen siendo clave: revisar opiniones, no instalar apps de desarrolladores desconocidos a la ligera, gestionar tus apps y, si se detecta algo raro, desinstalar cuanto antes.
Nuevas polĆticas de calidad: adiĆ³s a las apps basura y a las apps rotas
AdemĆ”s de las amenazas directas, Google quiere limpiar su tienda de apps basura que no aportan valor o que ni siquiera funcionan correctamente. Para ello ha actualizado sus polĆticas de spam y de funcionalidad mĆnima y rota, con un calendario de aplicaciĆ³n especĆfico a partir de 2024.
Bajo el paraguas de la funcionalidad mĆnima, Play Store va a eliminar o degradar todas aquellas aplicaciones que se limitan a mostrar un texto estĆ”tico, un PDF sin mĆ”s, una Ćŗnica imagen o que tienen un contenido tan fino que apenas ofrecen algo Ćŗtil. En el punto de mira estĆ”n tambiĆ©n apps bĆ”sicas de un solo fondo de pantalla, clones sin cambios o herramientas que literalmente no hacen nada salvo servir de excusa para colar publicidad.
En el apartado de funcionalidad rota, el objetivo son las aplicaciones que se cierran de manera constante, se bloquean al abrirlas, no se instalan bien, no cargan o no responden a las acciones del usuario. Hasta ahora estas apps podĆan seguir en la tienda con mala nota y advertencias, pero la intenciĆ³n de Google es retirarlas directamente para reducir la frustraciĆ³n de quien se las descarga.
Esta estrategia no es totalmente nueva: en 2020 ya se eliminaron aplicaciones muy populares como Mitron o Remove China Apps por violar las polĆticas de spam y de funcionalidad mĆnima, pese a acumular millones de descargas. La idea es priorizar la calidad y la seguridad sobre la popularidad, incluso cuando las apps se han vuelto virales.
En paralelo, Android 15 introduce la llamada detecciĆ³n de amenazas en vivo, una funciĆ³n que usa IA para analizar, en tiempo real, seƱales de comportamiento relacionadas con permisos sensibles y la interacciĆ³n entre aplicaciones. Si se detecta un patrĆ³n tĆpico de malware, el sistema puede marcar la app como peligrosa e incluso facilitar su eliminaciĆ³n de Google Play.
Apps maliciosas que se ocultan o son difĆciles de borrar
Otro caso delicado son las aplicaciones que, aun estando en la Play Store, utilizan trucos para ocultarse en el dispositivo o complicar al mĆ”ximo su desinstalaciĆ³n. Se han visto varias campaƱas en las que el usuario creĆa que la app daba un error de instalaciĆ³n, pero en realidad quedaba activada en segundo plano.
Al instalar ciertas apps, aparecĆa un mensaje del tipo Ā«Esta aplicaciĆ³n es incompatible con su dispositivoĀ» y a continuaciĆ³n se abrĆa Google Maps como si nada. Muchos usuarios daban por hecho que simplemente no era compatible y la olvidaban, cuando en realidad el programa ya estaba instalado, pero habĆa eliminado su icono del cajĆ³n de aplicaciones para pasar inadvertido.
En otras variantes, en lugar de desaparecer, el icono de la app se cambiaba por el tĆpico sĆmbolo de descargas u otro icono genĆ©rico, de modo que el usuario pensaba que era un componente del sistema y no un programa sospechoso. AsĆ se aseguraban de permanecer mucho tiempo en el telĆ©fono, recopilando datos o mostrando anuncios.
Entre las aplicaciones detectadas en una de estas oleadas estaban nombres como Flash On Calls & Messages, Rent QR Code, Image Magic, Generate Elves, SavExpense, QR Artifact o Find Your Phone, ademĆ”s de varias herramientas de ediciĆ³n de fondo y recorte de imĆ”genes (Auto Cut Out Pro, Background Cut Out, Photo Background, ImageProcessing, Auto Cut Out 2019, etc.).
Los usuarios empezaron a avisar a Google a travƩs de los comentarios y reportes en la Play Store, detallando el comportamiento extraƱo de estas apps. Como el volumen de aplicaciones y valoraciones es enorme, puede pasar un tiempo hasta que se revisan todas las denuncias y se procede a su retirada, por lo que conocer de antemano los nombres implicados y evitarlos es una buena capa extra de defensa.
Ejemplos famosos de apps eliminadas por contenido, derechos o fraude
A lo largo de la historia de Android tambiƩn se han dado casos muy sonados de apps retiradas por motivos legales, Ʃticos o de simple engaƱo al usuario. Algunas de ellas eran muy populares, lo que demuestra que no solo se purgan pequeƱas aplicaciones desconocidas.
Un ejemplo claro es Durak, un juego de cartas muy conocido en Rusia y otros paĆses del entorno soviĆ©tico. Hubo una versiĆ³n especĆfica en Google Play que llegĆ³ a superar los cinco millones de descargas y que resultĆ³ ser maliciosa: tras instalarla, empezaba a inyectar ventanas emergentes (pop ups) en otras apps para forzar clics en publicidad y generar mĆ”s ingresos. Cuando se descubriĆ³ el comportamiento fraudulento, Google la eliminĆ³. Hoy en dĆa es posible descargar juegos de Durak sin este problema, pero aquel caso marcĆ³ un antes y un despuĆ©s.
Otro frente ha sido el de los emuladores de consolas. En principio, los emuladores no estĆ”n prohibidos como tal, y en la tienda hay ejemplos para casi todas las mĆ”quinas clĆ”sicas. Sin embargo, el emulador PSX4droid fue retirado tras las presiones de Sony, que en aquel momento impulsaba el Xperia Play y no veĆa con buenos ojos una app que permitĆa jugar a tĆtulos de PlayStation sin su control. La utilizaciĆ³n de la BIOS de la consola en el proceso tampoco ayudĆ³. Curiosamente, otros emuladores similares como FPse se han mantenido disponibles.
Algo parecido ocurriĆ³ con Snes9X, uno de los mejores emuladores de Super Nintendo para Android. Nintendo habrĆa presionado para que se retirara de la Play Store, pero esto no ha impedido que aparezcan variantes basadas en su cĆ³digo o emuladores alternativos como SuperRetro16, que incluso tuvo que cambiar su nombre original (SuperGNES) por cuestiones de marca.
Las apps relacionadas con contenidos protegidos por copyright tambiĆ©n han tenido una vida complicada en Google Play. Popcorn Time, que ofrecĆa streaming de pelĆculas y series con derechos de autor, intentĆ³ colarse en la tienda oficial, pero fue expulsada rĆ”pidamente por la obvia vulneraciĆ³n legal. Lo mismo pasĆ³ con la app oficial de Grooveshark, un conocido servicio para escuchar mĆŗsica gratis, que desapareciĆ³ de la tienda mucho antes de que el servicio cerrara, precisamente por el conflicto con la mĆŗsica licenciada.
En el terreno del contenido ofensivo y discriminatorio, uno de los ejemplos mĆ”s polĆ©micos fue la app Ā«Is my son gay?Ā», un supuesto test para Ā«determinarĀ» si un hijo era homosexual. La aplicaciĆ³n no tenĆa base cientĆfica alguna y transmitĆa un mensaje claramente homĆ³fobo, por lo que fue retirada hace aƱos y no se han visto clones relevantes en la Play Store desde entonces.
TambiĆ©n hay hueco para los timos en forma de apps de seguridad falsas. El caso de Virus Shield se hizo especialmente famoso: prometĆa eliminar virus y proteger el mĆ³vil con un escaneo exhaustivo, pero su cĆ³digo, al analizarlo, revelĆ³ que no hacĆa absolutamente nada Ćŗtil. BĆ”sicamente, ejecutaba una cuenta atrĆ”s y mostraba una animaciĆ³n para simular actividad. Tras destaparse el engaƱo, Google eliminĆ³ la app y cerrĆ³ la cuenta del desarrollador.
En el campo de la descarga de contenidos de YouTube, TubeMate fue durante un tiempo una de las aplicaciones mĆ”s usadas para guardar vĆdeos en el dispositivo. A Google y a YouTube no les hizo demasiada gracia que miles de usuarios pudieran bajar vĆdeos fuera del sistema oficial, mĆ”s aĆŗn con el impulso de servicios de pago que permiten descargas limitadas para ver sin conexiĆ³n. Finalmente, TubeMate fue expulsada de la Play Store, aunque sigue pudiendo obtenerse por otras vĆas.
Malware espĆa y troyanos bancarios: KoSpy, Anatsa y compaƱĆa
Las campaƱas de spyware y troyanos bancarios han obligado a Google a reaccionar con medidas especialmente contundentes en los Ćŗltimos meses. Un caso reciente es el del malware KoSpy, detectado por la empresa de seguridad Lookout y asociado al grupo norcoreano APT37 (ScarCruft), con conexiones posibles al grupo APT43 (Kimsuky), especializado en espionaje internacional.
KoSpy es capaz de recopilar SMS, registros de llamadas, ubicaciones, grabaciones de audio y capturas de pantalla, lo que convierte cualquier mĆ³vil infectado en una fuente de informaciĆ³n extremadamente sensible tanto en el Ć”mbito personal como en el laboral. Algunas de las apps que lo contenĆan se habĆan colado en la Play Store, lo que obligĆ³ a su retirada inmediata cuando se descubriĆ³ la amenaza.
Algo similar sucede con troyanos como Anatsa (tambiĆ©n conocido como TeaBot), que se hace pasar por aplicaciones legĆtimas y puede robar credenciales bancarias e interceptar cĆ³digos de verificaciĆ³n. En los Ćŗltimos barridos, Google ha suprimido alrededor de 180 aplicaciones relacionadas con este tipo de malware, que sumaban mĆ”s de 56 millones de descargas entre todas.
Aunque los ejemplares mĆ”s peligrosos ya no estĆ”n disponibles en la tienda oficial, muchos de ellos se ofrecen en repositorios externos, webs no oficiales o enlaces que llegan por SMS, correo o mensajerĆa. De ahĆ que Google insista tanto en mantener Play Protect activado, evitar la instalaciĆ³n de apps desde orĆgenes desconocidos y seguir consejos para instalar apps seguras y de confianza fuera de Google Play.
Un informe de la University College London recalca que las aplicaciones instaladas por descarga lateral suelen pedir permisos desmesurados y esconder mejor su presencia, un riesgo enorme para quienes gestionan datos corporativos o confidenciales en su mĆ³vil. Por eso, en entornos profesionales se recomienda casi siempre limitar la instalaciĆ³n a la Play Store y a un catĆ”logo de apps supervisadas por el departamento de TI.
Apps maliciosas muy descargadas: iRecorder, reproductores, clones de juegos y mƔs
Otro aspecto preocupante es que muchas apps con intenciones dudosas han conseguido acumular cientos de miles o incluso millones de descargas antes de que se detectara su verdadera naturaleza. La compaƱĆa de ciberseguridad Kaspersky realizĆ³ un recuento de algunos casos significativos solo en 2023, con mĆ”s de 600 millones de descargas combinadas en Google Play de apps con comportamiento malicioso.
Un ejemplo llamativo es iRecorder, que se lanzĆ³ en 2021 como una simple herramienta para grabar la pantalla del telĆ©fono. Durante un tiempo se comportĆ³ como prometĆa, pero en agosto de 2022 recibiĆ³ una actualizaciĆ³n que aƱadĆa cĆ³digo malicioso. A partir de entonces, la app grababa fragmentos de audio de unos 15 minutos cada cierto tiempo y los enviaba a los servidores de sus creadores. Cuando se destapĆ³ el comportamiento, ya habĆa superado las 50.000 descargas.
En otra campaƱa, se descubrieron 43 aplicaciones con nombres genĆ©ricos como TV/DMB Player, Music Downloader, News o Calendar, entre otros. Su truco era ejecutarse en segundo plano y mostrar anuncios en la pantalla incluso cuando el usuario apagaba el mĆ³vil, con el consiguiente consumo exagerado de baterĆa y recursos. En conjunto sumaban mĆ”s de 2,5 millones de descargas.
Los clones de Minecraft tambiĆ©n han sido un vector de infecciĆ³n popular. Se detectaron apps que acumulaban alrededor de 35 millones de instalaciones y que escondĆan el componente HiddenAds, encargado de mostrar anuncios ocultos o imposibles de cerrar. Aunque a primera vista parecĆan inofensivas, terminaban perjudicando claramente el rendimiento de los dispositivos y abriendo la puerta a otros abusos.
En todos estos casos, la recomendaciĆ³n de los expertos es clara: invertir en una soluciĆ³n de seguridad fiable que sea capaz de detectar este tipo de comportamientos, no fiarse ciegamente de que algo estĆ© en Google Play y, antes de descargar, investigar un poco el historial y la reputaciĆ³n del desarrollador.
SeƱales de que una app puede ser peligrosa y cĆ³mo actuar
Todos estos ejemplos comparten una serie de sĆntomas que puedes detectar en tu dĆa a dĆa. Si notas lentitud anormal en el sistema, consumo de baterĆa disparado o calentamiento sin motivo aparente, es buena idea revisar las Ćŗltimas apps que has instalado.
Otros signos de alarma tĆpicos son la apariciĆ³n de ventanas emergentes de publicidad repentinas, cambios extraƱos en la pantalla principal, nuevos iconos que no recuerdas haber instalado o apps que no se dejan desinstalar con normalidad. Ante la duda, conviene pasar un escaneo con un antivirus Android de confianza y revisar la lista de aplicaciones instaladas buscando nombres que no te suenen.
Si encuentras una app sospechosa, lo recomendable es desinstalarla cuanto antes, revocar los permisos concedidos (sobre todo acceso a mensajes, llamadas, cĆ”mara, micrĆ³fono y localizaciĆ³n) y cambiar contraseƱas importantes, especialmente las bancarias o de servicios crĆticos. Si crees que puede haber informaciĆ³n de empresa comprometida, lo ideal es informar al departamento correspondiente.
Como medidas preventivas bĆ”sicas, ademĆ”s de mantener Play Protect activado y el sistema operativo actualizado, es importante evitar redes WiFi pĆŗblicas sin protecciĆ³n, desconfiar de enlaces raros que lleguen por mensajerĆa o correo y leer reseƱas y valoraciones de otros usuarios antes de instalar nada. Aunque los filtros de Google han mejorado mucho, la vigilancia del propio usuario sigue siendo la primera lĆnea de defensa.
Todo este esfuerzo por parte de Google ādesde la detecciĆ³n con IA y la eliminaciĆ³n masiva de apps daƱinas, hasta la expulsiĆ³n de desarrolladores reincidentes o el endurecimiento de las polĆticas de calidadā ha elevado notablemente el listĆ³n de seguridad y fiabilidad de la Play Store, pero tambiĆ©n ha dejado claro que los atacantes no se detienen: cambian de tĆ”ctica, compran cuentas legĆtimas, camuflan malware en actualizaciones o se apoyan en apps basura y clones para colarse. Conocer estos casos comunes de eliminaciĆ³n de apps en Google Play, sus motivos y sus seƱales de alerta es, a dĆa de hoy, una de las mejores formas de moverse con cabeza por la tienda de Android y reducir al mĆnimo el riesgo de terminar instalando algo que convierta tu mĆ³vil en un coladero de datos o en una mĆ”quina de hacer clics falsos.
