La Google Play Store oficial no está robando datos bancarios a los usuarios, pero existe una copia de la tienda de aplicaciones de Google que sí está robando estos datos bancarios. Y por eso lo expresamos así, porque se trata de una tienda tan parecida a la oficial, que podrías tenerla instalada en tu smartphone sin darte cuenta. Nunca introduzcas datos de pago en apps no verificadas.
En realidad, hablamos de una tienda denominada como Googl aplicación Stoy. Como podéis deducir, no se trata de la tienda oficial de Google, de la Google Play Store, sino de una falsa copia de la tienda casos de tiendas falsas en Google Play. El nombre, los logotipos y los textos mal traducidos son pistas.
La tienda oficial de Google es una aplicación de confianza para los usuarios; además, herramientas como Verify Apps ayudan a detectar aplicaciones peligrosas antes de instalarlas. De hecho, estos introducen sus datos bancarios para comprar nuevas aplicaciones. Y es por eso que ha sido elegida para este engaño. Los usuarios instalan la aplicación sin pensar que puede ser malware. Sin embargo, una vez instalada y ejecutada, comienza a lanzar mensajes de error. El problema es que de manera paralela está obteniendo nuestros datos bancarios y enviándolos a un servidor. Estos datos pueden acabar revendidos en foros criminales.
Los hackers pueden utilizar estos datos para robarnos dinero directamente, o si prefieren evitar los posibles problemas, se limitan a vender los datos bancarios a organizaciones que sí están dispuestas a robarnos el dinero. Actúa rápido si detectas movimientos extraños.
Cómo evitar estas aplicaciones
La clave para evitar estas aplicaciones está muy clara. En primer lugar, hay que asegurarse de que de verdad se trata de la aplicación original. Es algo que podremos deducir muy fácilmente. Normalmente estas aplicaciones no suelen contar con el mismo nombre, o suelen contar con malas traducciones a nuestro idioma. Además, estas aplicaciones no las podemos instalar si descargamos apps solamente desde Google Play. De hecho, en Ajustes > Seguridad podemos asegurarnos de que no instalamos ninguna aplicación que no sea de Google Play, si tenemos desactivada la opción Orígenes desconocidos. Revisa siempre los permisos y la URL del desarrollador. Tampoco te pierdas este artículo sobre cómo evitar instalar malware en un smartphone Android.
Señales de software malicioso y tiendas falsas
- En el dispositivo: alertas de virus insistentes, bajo rendimiento, caída brusca de almacenamiento o cierre de sesión de Google por seguridad.
- En el navegador: pop-ups que no desaparecen, cambios del buscador o página de inicio y redirecciones a sitios desconocidos.
- En tus cuentas: contactos que reciben mensajes que no enviaste o solicitudes de permisos que no tienen sentido.
Si detectas estos indicios, elimina apps sospechosas, desinstala extensiones no confiables, restablece la configuración del navegador, actualiza el sistema y realiza una revisión de seguridad de tu cuenta, además consulta una guía para bloquear apps en Android. Mantener el sistema actualizado reduce riesgos.
Cargos no reconocidos: verifica y pide ayuda
Comprueba si los cargos proceden de Google Play: en el extracto deberían aparecer como «GOOGLE*Nombre del desarrollador», «GOOGLE*Nombre de la aplicación» o «GOOGLE*Tipo de contenido». Si no coinciden con estos formatos, contacta con tu banco o proveedor de pagos.
- Accede a play.google.com, abre tu imagen de perfil y entra en Pagos y suscripciones > Presupuesto e historial de pedidos.
- En el pedido, pulsa Informar de un problema, describe la incidencia y solicita reembolso si aplica.
Consejo: activa protección por contraseña/biometría en compras para evitar cargos no autorizados por familiares o amigos.
Amenazas recientes y técnicas que debes conocer
Se han visto falsas apps financieras que suplantan bancos y servicios cripto para robar tarjetas y credenciales mediante formularios. También hay campañas de droppers que publican apps aparentemente limpias en Google Play (familias Anatsa, Alien, Hydra, Ermac) y, tras la instalación, descargan el troyano según la región objetivo; un ejemplo conocido de estafa en tiendas es Virus Shield.
Otro esquema: apps de Play Store que fuerzan una actualización externa en APK usando el permiso REQUEST_INSTALL_PACKAGES (como SharkBot) para robar credenciales e interceptar SMS 2FA; variantes como Vultur añaden capacidades de acceso remoto. Existen además PWA maliciosas como NGate, que usan NFC para emular tarjetas y robar PIN mediante ingeniería social, y troyanos multiplataforma como SparkKitty que exfiltran fotos y datos técnicos desde apps falsas de apuestas o cripto. Desconfía de apps que pidan permisos invasivos sin motivo.
También conviene recordar riesgos como el SIM swapping, con el que pueden secuestrar tus SMS de verificación para vaciar cuentas. Usa autenticadores offline y evita introducir datos sensibles en redes Wi‑Fi públicas.
La mejor defensa combina descargas solo desde Google Play, verificación del desarrollador, revisión de opiniones y permisos, actualizaciones al día y una solución de seguridad reputada, además de mejores apps anti-spyware. Ante la mínima duda, elimina la app y consulta con tu banco.