Mientras que en Google Play se vende como "la mejor aplicación para editar vídeos y fotos", al someterse al análisis de expertos en ciberseguridad es también una de las aplicaciones móviles que engrosa desde hace bastante tiempo la "lista negra" de herramientas más maliciosas que elabora la plataforma de seguridad móvil de Upstream, Secure-D, que se encarga de dar seguimiento y bloquear transacciones sospechosas vinculadas a dispositivos móviles. A su vez, esta app cuenta con más 100 millones de descargas en la tienda virtual de Google y una mayoría de críticas de cinco estrellas, la máxima calificación que se le puede dar a una herramienta en Google Play.
Secure-D alertó en un reciente análisis que VivaVideo, un editor de video que está disponible desde 2013, intenta sistemáticamente iniciar suscripciones a servicios premium en un segundo plano sin notificarlo al usuario y sin que este se dé cuenta, además de que tampoco solicita la expresa autorización del usuario que se descargó la app.
Aunque se ofrece en Google Play como una aplicación totalmente gratis, VivaVideo ha conseguido con el paso de los años ganar adeptos entre los aficionados a los montajes y la edición rápida de vídeos con aspecto cercano a lo profesional, ha intentado operar desde 2019 más de 20 millones de transacciones móviles sospechosas en más de un millón de dispositivos con el objetivo de realizar a nombre del usuario una suscripción a un servicio premium.
Estos movimientos han sido detectados y bloqueados por Secure-D. En los mercados donde se ha detectado una mayor actividad fraudulenta, con Brasil a la cabeza —más de 11,5 millones de transacciones localizadas en este país— estos intentos por activar suscripciones falsas podrían haber conllevado unos costos indeseados a los usuarios que superarían los 27 millones de euros.
Con el auge de los vídeos breves en Instagram con el formato "reels" y la popularidad de TikTok, que se convirtió ya a mitad de 2020 en la app más descargada por los usuarios en lo que había transcurrido de año, VivaVideo no solo suma popularidad en Google Play con una puntuación de 4.4 resultante de más de 12 millones de reseñas. También congrega seguidores en sus perfiles oficiales en las redes sociales, donde reúne por ejemplo en Instagram a 550.000 los usuarios que siguen las publicaciones de una de las apps de moda para poderse subir al carro de las tendencias en internet.
Antes de la nueva investigación que ha realizado esta plataforma de seguridad móvil, ya se conocían otras estrategias fraudulentas de la herramienta desarrollada por QuVideo Inc, asentada en Hangzhou (China), para recopilar datos personales del usuario sin que este estuviera en conocimiento.
Pensada para editar montajes de vídeo incluyendo efectos de imagen y sonido, VivaVideo ejecutaba sin ninguna acción o autorización expresa del usuario una suscripción a un servicio llamado "KidZone" por el que se cobraba 0,21 centavos por día e incluso simulaba clicks falsos a una supuesta publicidad que venían seguidos por un intento de suscripción, tal y como ha podido monitorizar Secure-D y se hacen eco también desde la propia página de Upstream. Si la suscripción salía bien, la empresa que había detrás de esa publicidad se llevaba una comisión por la supuesta venta.
La app no se quedó ahí, sino que también pide más permisos a los usuarios que se descargan la aplicación móvil de los debidamente necesarios, con accesos a información de localización GPS o datos procedentes de aplicaciones destinadas a hacer deporte: una información que, según lo que destacan desde Secure-D, no suele ser necesaria para que puedan funcionar este tipo de apps y que va más bien destinada a actividades que se efectúan a espaldas del usuario del teléfono móvil.
Por si fuera poco, en versiones anteriores VivaVideo utilizaba un kit de desarrollo de software de terceros (SDK), conocido por el nombre de Batmobi y por ser una de las SDK que Google investigó en 2018 por fraude publicitario prohibiendo que se distribuyeran en el entorno de Google Play, que se dedica a inyectar clicks falsos en publicidad para reclamar luego una cantidad a la empresa en cuestión.
Aunque desde Secure-D señalan que Batmobi ya no está presente en Google Play, el hecho de que se compartan aplicaciones a través de sitios como ShareIt —un software de transferencia de archivos con el que se pueden enviar apps a terceros— ha podido favorecer que siga circulando entre dispositivos. De acuerdo con la recomendación que da la plataforma de seguridad, no es necesario borrar la aplicación, sino que los usuarios que la tengan descargada en su móvil pueden estar cubiertos si actualizan desde Google Play la app a su última versión, informó El Confidencial.