Actualización 29-11-18

Si preguntáramos a los usuarios de Android con más experiencia sobre la peor compañía de desarrollo de aplicaciones seguro que un nombre sobresaldría sobre el resto: Cheetah Mobile. Esta desarrolladora china se ha ganado su mala fama a pulso a base de arruinar aplicaciones y de crear todo tipo de apps vacías de uso y llenas de publicidad. Pero no era todo: ahora ha sido pillada cometiendo un gravísimo fraude publicitario.

Seguramente sepas que las apps de Cheetah Mobile no solo incluyen nuncios, también abusan de los permisos pidiéndolos para tareas que no tienen sentido dadas las funciones de la aplicación concreta. Así, un simple teclado tiene acceso, literalmente, a las demás aplicaciones, al teléfono, a todas las cuentas, la identidad… Y con este ingente número de permisos en sus aplicaciones Cheetah Mobile se lucraba insertando anuncios en otras apps.

Las aplicaciones de Cheetah Mobile se aprovechan de otras aplicaciones para lucrarse de forma indebida

El inmenso fraude publicitario descubierto por Kochava y BuzzFeed News destapa con absoluta claridad los nulos escrúpulos de la compañía de aplicaciones móviles Cheetah Mobile. Con apps que pasan de los mil millones de descargas, como es el caso de Clean Master, podemos atisbar el gigantesco alcance de una estafa sin precedentes en las tiendas de aplicaciones móviles.

El plan maestro de Cheetah Mobile para engrosar sus ingresos publicitarios abusaba de los permisos concedidos por el usuario a sus aplicaciones (qué sorpresa) para vigilar a las demás apps instaladas colocando anuncios en sus interfaces de cara a obtener clicks como si fueran de sus propias aplicaciones. Siete apps de Cheetah Mobile fueron pilladas con esta metodología: Clean Master, Security Master, CM Launcher 3D, Battery Doctor, Cheetah Keyboard, CM Locker y CM File Manager. Otra aplicación descubierta en idéntico fraude fue KIKA Keyboard, con más de 100 millones de descargas.

La manera de actuar de estas aplicaciones es la siguiente:

• El usuario descarga una aplicación de Cheetah Mobile en su móvil sin fijarse en los permisos. Literalmente, le da acceso a todo su teléfono.
• La aplicación de Cheetah Mobile, una vez instalada, monitoriza las demás instalaciones que haga el usuario.
• Cuando se detecta una aplicación externa, Cheetah Mobile se encarga de identificar sus proveedores de publicidad.
• Una vez detectada la forma en la que la aplicación externa sirve y envía la información de los anuncios en su interfaz Cheetah Mobile se asegura de cobrar los beneficios publicitarios por la instalación.
• Google nos ha aclarado que la monitorización de instalaciones también puede realizarse por motivos legítimos. Según Google no tienen evidencia de que el comportamiento de las aplicaciones detectadas fuese inadecuado.
• Cheetah Mobile obtiene ingresos publicitarios de todas las apps del usuario incluso aunque ellas no hayan servido anuncio alguno: la estafadora se encarga de que los anunciantes reflejen que fueron sus apps las que captaron el click.

Esta manera de actuar no solo pone en riesgo la privacidad del usuario (privacidad que pierde por completo una vez instala cualquier app de Cheetah Mobile), también supone un fraude enorme para los anunciantes. El tráfico publicitario no válido, aquel que incluye «herramientas de clics automáticos o fuentes de tráfico, robots u otro software engañoso«, está en contra de las políticas de AdMob.

La tremenda popularidad de las aplicaciones de Cheetah hace difícil la expulsión de la Google Play

Esquema del fraude en las aplicaciones de Cheetah Mobile. Imagen de BuzzFeed News

Que aplicaciones con miles de millones de usuarios cometan fraude publicitario no solo es grave para los anunciantes, también supone pérdidas de privacidad y de seguridad tales que Google debería expulsar de manera definitiva a Cheetah Mobile y a KIKA de la Play Store asegurándose de que no puedan entrar de nuevo bajo otro nombre de desarrollador. El problema es: ¿Google se arriesgará a hacerlo teniendo en cuenta el gigantesco volumen de usuarios que poseen sus apps?

Google ha compartido con nosotros algunas aclaraciones que hemos incluido en el artículo. También nos ha comentado: «Hemos revisado el comportamiento resaltado por esta nota y estamos investigando más a fondo con los desarrolladores«.

Actualización 29-11-18:

La empresa desarrolladora ha publicado un comunicado de prensa en el que niega cometer los fraudes y especifica que no puede controlar cómo otras aplicaciones usan su SDK de anuncios dentro de sus programas.