Los dispositivos Android se han convertido en el objetivo preferido de los ciberdelincuentes, y pocos ejemplos lo han demostrado tan claramente como la imparable campaña de apps maliciosas ‘Vapor’. Durante meses, miles de usuarios confiaron en aplicaciones aparentemente legítimas, descargadas desde la propia Google Play Store, sin saber que albergaban una de las amenazas más sofisticadas y exitosas de los últimos tiempos.
En este artículo analizaremos en profundidad qué es la familia de malware Vapor, cómo logró colarse en la tienda oficial de Android, cuáles fueron sus métodos de engaño y evasión, qué riesgos supuso para los usuarios y, lo más importante, cómo puedes detectar y protegerte de este tipo de apps. Si tienes o has tenido un móvil Android, esta es una lectura imprescindible para mantener tu privacidad y tu cartera a salvo.
El ascenso de Vapor: la campaña que engañó a millones
A inicios de 2024, los expertos en seguridad detectaron una campaña de malware sin precedentes bajo el nombre de ‘Vapor’, que logró infiltrarse en Google Play Store y alcanzar cifras de descargas mareantes. Según los informes de laboratorios como IAS Threat Lab y Bitdefender, inicialmente se identificaron 180 aplicaciones afectadas, cifra que poco después aumentó a 331 apps retiradas, aunque la cantidad real podría ser aún mayor.
Estas aplicaciones sumaron más de 60 millones de descargas combinadas, lo que significa que el número de dispositivos potencialmente comprometidos es abrumador. Los países más afectados por las infecciones fueron Brasil, Estados Unidos, México, Turquía y Corea del Sur, aunque ningún usuario de Android estuvo completamente a salvo mientras las apps estuvieron activas en la tienda de Google.
Lo alarmante de Vapor es que sus creadores lograron burlar los mecanismos de seguridad de Google Play gracias a una estrategia tan simple como efectiva: al publicarse, las apps cumplían exactamente las funciones prometidas (diarios, apps de salud, escáneres QR, optimizadores…), sin rastros de malware visibles. Sin embargo, tras la instalación, recibían actualizaciones desde servidores remotos (C2, o Command & Control) que descargaban el código malicioso y activaban todo su potencial dañino, ya con el usuario confiando en la app.
Para colmo, los desarrolladores utilizaban múltiples cuentas en Google Play, publicando solo un puñado de apps por cuenta para dispersar el riesgo y dificultar la eliminación masiva. Asimismo, cada aplicación podía usar un SDK de anuncios distinto, evitando así patrones fácilmente detectables por los sistemas antimalware.
Principales apps ‘Vapor’ más descargadas
Entre el listado de apps comprometidas destacan varias que llegaron a superar el millón de descargas, todas ellas bajo apariencias completamente inofensivas. Algunas de las más populares fueron:
- AquaTracker – 1 millón de descargas
- ClickSave Downloader – 1 millón de descargas
- Scan Hawk – 1 millón de descargas
- Water Time Tracker – 1 millón de descargas
- Be More – 1 millón de descargas
- BeatWatch – 500.000 descargas
- TranslateScan – 100.000 descargas
- Handset Locator / Localizador de teléfonos – 50.000 descargas
La diversidad de categorías es clave en la táctica de Vapor: apps de salud y fitness, diarios y gestores de notas, herramientas para batería e incluso utilidades como escáneres de código QR o localizadores. Todas ellas cumplían, al menos en un principio, la promesa funcional que anunciaban, lo que fomentaba reseñas positivas y descargadas masivas sin sospechas.
Métodos de engaño: cómo las apps Vapor superaron las barreras de seguridad
El éxito de Vapor no solo reside en su distribución masiva, sino en la sofisticación para escaquearse de los controles de seguridad de Google y de los propios usuarios. Uno de los mecanismos más ingeniosos consistía en aprovechar el archivo AndroidManifest.xml para desactivar la llamada Launcher Activity, que es la pantalla principal que se lanza al tocar el icono de la app.
¿Por qué es tan peligroso esto? Básicamente porque una vez instalada y ejecutada por primera vez, la app puede hacer que su icono desaparezca por completo del menú de inicio, pasando totalmente desapercibida. Para el usuario, parece que nunca existió, aunque siga funcionando en segundo plano. En ocasiones, incluso se renombraban en los ajustes del sistema con nombres tan neutros como ‘Google Voice’, dificultando todavía más su detección.
Además, las apps Vapor recurren a componentes nativos y funciones ocultas para ejecutar código malicioso automáticamente, sin interacción adicional del usuario. Usan el ContentProvider de Android para ganar persistencia y eluden protecciones críticas implementadas en versiones modernas del sistema, como Android 13 y superiores.
Entre otras artimañas, desactivan el botón de ‘Atrás’ en los pop-ups de anuncios, se eliminan de la lista de ‘Tareas recientes’, y logran permisos para superponer ventanas, lo que permite que los anuncios a pantalla completa resulten imposibles de cerrar, privando de control al usuario.
De la publicidad engañosa al robo de datos personales
La mayoría de las aplicaciones Vapor tenían como principal objetivo el llamado fraude publicitario a gran escala, también conocido como adware: mostrar anuncios intrusivos para generar ingresos fraudulentos. Hablamos de cifras absolutamente desproporcionadas: algunos análisis apuntan a más de 200 millones de solicitudes de anuncios falsos al día.
Pero el daño no se limita a la saturación publicitaria. En muchos casos, las apps incluían técnicas de phishing muy avanzadas: desde superponer pantallas de inicio de sesión falsas de Facebook o YouTube («clavadas» a las originales), hasta solicitar datos bancarios y de tarjetas de crédito como paso previo a acceder a la funcionalidad prometida.
La consecuencia directa de este tipo de ataques va mucho más allá de la molestia. Los atacantes pueden hacerse con credenciales de acceso, información financiera, datos personales y, en última instancia, provocar pérdidas económicas severas y robo de identidad para los usuarios menos precavidos.
Otro factor que agrava la situación es la capacidad de recopilar datos técnicos del propio dispositivo: modelo, identificadores, idioma, localización, consumo de batería y red, todo ello utilizado para perfilar mejor la víctima y segmentar ataques específicos.
Distribución y evolución constante: cómo reaparecen las amenazas
Uno de los aspectos más inquietantes de la familia Vapor es la facilidad con la que los ciberdelincuentes se adaptan y vuelven a colar variantes nuevas en Google Play, incluso tras haber sido retirada una ola de apps maliciosas. Utilizan cuentas de desarrollador desechables, mezclan SDKs publicitarios diferentes y rotan los nombres y perfiles continuamente.
Además, la distribución no se limita a la Play Store oficial: en regiones donde Google Play está restringido o poco extendido (como China o India), proliferan tiendas alternativas, enlaces de descarga directa o incluso campañas de ingeniería social vía correo, SMS o redes sociales.
No hay que olvidar otras tácticas de distribución también presentes en campañas de malware en Android: archivos adjuntos infectados, publicidad maliciosa (malvertising), páginas web que ofrecen descargas “drive-by”, redes P2P, o la utilización de cracks y actualizaciones falsas.
Secuelas para el usuario: síntomas y problemas que causa Vapor
Las infecciones por apps de la familia Vapor pueden causar una larga lista de problemas, algunos más evidentes y otros que pasan desapercibidos a simple vista. Entre los síntomas más habituales destacan:
- Aparición recurrente de anuncios intersticiales a pantalla completa, imposibles de cerrar y completamente fuera de contexto.
- Desaparición del icono de la app maliciosa en el cajón de aplicaciones y en las tareas recientes.
- Disminución repentina del rendimiento del dispositivo y de la velocidad de conexión a Internet.
- Consumo anómalo de datos y batería, incluso en reposo.
- Redirecciones a sitios dudosos o de phishing cuando se usa el navegador.
- Solicitudes inesperadas de inicio de sesión en servicios como Facebook, YouTube u otras plataformas.
- Dificultad o imposibilidad para desinstalar la aplicación de forma convencional.
Es muy probable que tu dispositivo esté afectado por alguna variante de Vapor u otro adware similar si detectas estos comportamientos y no puedes identificar qué app lo provoca.
Fraude publicitario: así monetiza Vapor sus ataques
El fraude publicitario es la fuente principal de ingresos de las aplicaciones Vapor. Consiste en generar interacciones falsas (impresiones, clics) que engañan a las redes de anuncios para que paguen por tráfico inexistente o manipulado, a costa de la experiencia del usuario y de los anunciantes legítimos.
El impacto económico es enorme no solo para los usuarios, que sufren el deterioro de sus teléfonos, sino también para las agencias y empresas que pierden dinero en campañas publicitarias fraudulentas.
Cómo detectar y eliminar apps maliciosas Vapor
Detectar una app Vapor puede ser un desafío, ya que suelen ocultarse y camuflarse mejor que la mayoría de adware del mercado. De todos modos, existen varias estrategias y pasos prácticos recomendados por los expertos en ciberseguridad:
- Compara la lista de aplicaciones instaladas en Ajustes > Aplicaciones > Ver todas las aplicaciones con las que ves en el menú principal. Si hay alguna que no aparece en el lanzador, sospecha.
- Mira el consumo de batería y datos de las apps. Una aplicación legítima nunca debería consumir recursos de forma exagerada sin motivo.
- Presta especial atención a apps cuyo nombre te resulta desconocido o que han cambiado de nombre (por ejemplo, ‘Google Voice’).
- Si una app pide permisos que no corresponden con su función real (por ejemplo, un diario de salud que solicita acceso al SMS o a la cámara), desinstálala inmediatamente.
- Utiliza Google Play Protect o antivirus móviles de confianza para escanear tu dispositivo de manera habitual.
- En casos extremos, arranca el móvil en ‘Modo Seguro’ para eliminar manualmente la app sospechosa si no puedes hacerlo en modo normal.
Si tras las comprobaciones sigues teniendo problemas, realiza un análisis completo con un programa profesional y valora un restablecimiento de fábrica si persiste la infección (aunque esto debería ser el último recurso).
Redactor apasionado del mundo de los bytes y la tecnología en general. Me encanta compartir mis conocimientos a través de la escritura, y eso es lo que haré en este blog, mostrarte todo lo más interesante sobre gadgets, software, hardware, tendencias tecnológicas, y más. Mi objetivo es ayudarte a navegar por el mundo digital de forma sencilla y entretenida.