Guía de tecnologías

Cómo detectar y eliminar SlopAds: guía completa para proteger tu Android

9 min read Seguridad Móvil Actualizado 19 Oct 2025
Eliminar SlopAds: guía rápida para Android
Eliminar SlopAds: guía rápida para Android

Teléfono en mano con un anuncio en pantalla y botón comprar ahora

¿Qué es la campaña de fraude publicitario SlopAds?

Investigadores de seguridad del equipo Satori Threat Intelligence and Research de HUMAN descubrieron una campaña masiva de fraude publicitario que afectó a usuarios en todo el mundo. Hasta la fecha se han identificado y eliminado 224 aplicaciones relacionadas en Google Play (esta cifra puede aumentar). Estas apps —principalmente utilidades, herramientas de IA y algunos juegos— acumularon más de 38 millones de descargas y llegaron a generar más de 2,3 mil millones de solicitudes de puja de anuncios por día.

Definición breve: SlopAds es una operación de adware/ad-fraud que usa apps legítimas como fachada para generar impresiones y clics falsos sin que el usuario lo vea.

A continuación explicamos las tácticas técnicas que permitieron a SlopAds operar dentro de la Play Store y el flujo típico de infección y monetización.

Cómo funcionaba SlopAds: despiece técnico simple

  • Engaño de origen de instalación: las apps realizaban comprobaciones para saber si la instalación vino directamente desde la Play Store o si se inició al pulsar un anuncio que promovía la app. Si la instalación se produjo a partir de un anuncio, la app activaba la carga del payload. Evitar instalaciones directas dificulta las revisiones manuales porque los investigadores y los revisores suelen descargar la app directamente desde la tienda.

  • Descarga encubierta de recursos: tras detectar una instalación desde una campaña, la app contactaba a un servidor de comando y control (C2) para descargar imágenes que contenían código cifrado. Las imágenes parecen inocuas y, por ello, suelen pasar los controles de seguridad de dispositivos y de la propia Play Store.

  • Ensamblado y ejecución en tiempo de ejecución: el código oculto en las imágenes se descifraba y se ensamblaba en un módulo malicioso (reportado como FatModule). Ese módulo recopilaba información del dispositivo y del navegador y creaba webviews ocultos que cargaban páginas HTML5 repletas de anuncios para generar impresiones. Además, había lógica de automatización que simulaba toques en anuncios en intervalos específicos.

  • Resultados: miles de millones de impresiones diarias y clics simulados que generaban ingresos para los operadores, todo oculto entre funciones legítimas de las apps.

Importante: las apps infectadas pueden realizar actividad intensiva en red y CPU sin mostrar notificaciones evidentes, por eso es difícil detectarlas solo por comportamiento visual.

Señales de infección: cómo saber si tu teléfono está afectado

Aunque las páginas publicitarias y los webviews son invisibles, existen indicadores observables:

  • Comprueba la lista oficial de apps eliminadas: el equipo de HUMAN publicó una lista de aplicaciones quitadas. Verifica si alguna de las apps instaladas en tu teléfono aparece en esa lista.

  • Drenaje alto de batería: actividad oculta puede consumir CPU y radio de red en segundo plano. Ve a los ajustes de tu dispositivo y revisa el consumo de batería.

  • Consumo de datos inusual: anuncios masivos recargan recursos. Si una app usa muchos datos en segundo plano sin una razón aparente, puede ser sospechosa.

  • Comportamiento inesperado: ventanas emergentes para instalar otras apps, páginas web que se abren solas o solicitudes extrañas.

  • Mensajes o notificaciones de Play Protect: Google actualiza Play Protect para detectar estas apps y puede avisarte.

Cómo revisar consumo de batería y datos

  • En tu teléfono Android ve a Ajustes → Batería y revisa qué apps consumen más energía.
  • En Ajustes → Conexión y uso de datos (o Conexión y uso de datos) revisa el uso por app en un periodo determinado.

Estadísticas de uso de batería de apps

Si detectas una app con alto consumo y sin actividad en primer plano, continúa con la limpieza.

Pasos inmediatos: limpieza guiada (SOP para usuarios)

Sigue estos pasos en orden. Si alguno falla o la app impide desinstalarse, avanza en la lista hasta resolverlo.

  1. Identifica la app sospechosa.

    • Revisa aplicaciones instaladas recientemente y la lista de apps quitadas de la Play Store.
    • Si la app se instaló pulsando un anuncio, dale prioridad.

  2. Ejecuta un escaneo con Play Protect.

    • Abre Google Play Store → toca tu foto de perfil → Play Protect → Buscar ahora.
    • Play Protect puede identificar y desinstalar apps maliciosas automáticamente.

  3. Desinstala la app sospechosa.

    • Si la opción de desinstalar está disponible, úsala desde la pantalla de la app: Ajustes → Aplicaciones → [Nombre de la app] → Desinstalar.

  4. Revoca permisos especiales.

    • Ve a Ajustes → Privacidad → Permisos especiales (o Ajustes → Aplicaciones → Acceso especial) y revoca permisos como “Acceso a notificaciones”, “Uso del sistema”, “Accesibilidad” o “Instalar aplicaciones desconocidas” para la app en cuestión.
    • Revisa Ajustes → Accesibilidad → Servicios instalados y desactiva cualquier servicio sospechoso.

Lista de permisos especiales en Android

  1. Restablece el ID de publicidad.
    • Ajustes → Google → Anuncios → Restablecer ID de publicidad. Esto ayuda a detener perfiles publicitarios creados por actividad fraudulenta.

Ajustes de anuncios de Google mostrando la opción de restablecer

  1. Borra caché y datos si la desinstalación no fue posible.

    • Ajustes → Aplicaciones → [App sospechosa] → Almacenamiento → Borrar datos / Borrar caché. Tras esto, intenta desinstalar.

  2. Modo seguro para eliminar apps con persistencia.

    • Inicia el teléfono en modo seguro (mantén pulsado el botón de encendido, luego mantén pulsado “Apagar” hasta que aparezca la opción de reinicio en modo seguro). En modo seguro, apps de terceros no se ejecutan; desinstala la app problemática.

  3. Restablecimiento de fábrica como último recurso.

    • Si la app no se puede eliminar y los síntomas persisten, haz una copia de seguridad de datos importantes y realiza un restablecimiento de fábrica (Ajustes → Sistema → Opciones de restablecimiento → Borrar todos los datos). Esto elimina la mayoría del malware persistente.

Importante: antes de restaurar desde una copia de seguridad, revisa las apps que vas a reinstalar para evitar reintroducir la app maliciosa.

Prevención y endurecimiento: cómo proteger tu teléfono a futuro

  • Revisa opiniones antes de instalar: filtra por reseñas críticas y busca menciones de ventanas emergentes, excesos de anuncios o comportamientos extraños.
  • Compara permisos con la función de la app: desconfía si un juego o calculadora piden permisos de accesibilidad, administrador del dispositivo o micrófono sin justificación.
  • Evita instalar apps desde anuncios: descarga directamente desde la tienda buscando la app por nombre o por el desarrollador verificado.
  • Mantén el sistema y las apps actualizadas: parches y actualizaciones corrigen vectores de explotación.
  • Habilita la verificación de apps en Play Protect: Play Protect ayuda a bloquear apps conocidas.
  • Monitorea uso de datos y batería regularmente.

Lista de verificación rápida para usuarios

  • Revisar la lista oficial de apps eliminadas.
  • Ejecutar Play Protect → Buscar ahora.
  • Comprobar consumo de batería y datos por app.
  • Revocar permisos especiales y de accesibilidad.
  • Restablecer ID de publicidad.
  • Desinstalar app sospechosa o iniciar en modo seguro.
  • Hacer copia de seguridad y considerar restablecimiento de fábrica solo si es necesario.

Guía para administradores de TI y equipos de seguridad

Si gestionas dispositivos corporativos o flotas:

  • Bloquea instalaciones desde fuentes desconocidas y restringe permisos de administrador del dispositivo.
  • Implementa una solución de Mobile Threat Defense (MTD) que detecte patrones anómalos de red y comportamientos de webviews ocultos.
  • Despliega políticas de MDM/EMM para forzar revisiones periódicas de permisos y escaneos automáticos.
  • Mantén una lista centralizada de apps aprobadas y bloquea las demás.
  • Monitorea picos inusuales de tráfico saliente desde dispositivos móviles hacia dominios no habituales.

Mini-metodología para investigar una posible infección

  1. Recolecta evidencia: lista de apps instaladas, logs de consumo de red, tiempos y patrones.
  2. Correlaciona con la lista pública de SlopAds y dominios asociados.
  3. Aísla el dispositivo: quita acceso corporativo y VPNs.
  4. Ejecuta escaneo con Play Protect y herramientas MTD.
  5. Contención: desinstala app(s) sospechosas, revoca permisos.
  6. Remediación: restablecer ID de publicidad, cambiar credenciales si procede.
  7. Recuperación: restaurar políticas y validar integridad.
  8. Lecciones aprendidas: actualizar listas de bloqueo y comunicar a los usuarios.

Diagrama de decisión para usuarios (Mermaid)

flowchart TD
  A[¿Observas síntomas?] -->|No| B[Revisar periódicamente]
  A -->|Sí| C[¿App aparece en lista oficial?]
  C -->|Sí| D[Ejecutar Play Protect y desinstalar]
  C -->|No| E[Revisa consumo de batería y datos]
  E -->|Alto consumo| D
  E -->|Normal| F[Revocar permisos y monitorizar]
  D --> G[Restablecer ID de publicidad]
  D --> H[Si no se puede desinstalar, reiniciar en modo seguro]
  H --> I[Si persiste, copia de seguridad y restablecimiento de fábrica]

Preguntas frecuentes

¿SlopAds roba datos personales?

SlopAds se centra en fraude publicitario (impresiones y clics falsos). No hay evidencia pública de robo masivo de credenciales, pero la recopilación de información del dispositivo para fines de perfilado es parte del comportamiento detectado.

¿Play Protect me protegerá siempre?

Play Protect reduce el riesgo y Google está eliminando las apps conocidas, pero campañas sofisticadas pueden evadir detección temporalmente. Es importante actuar con las prácticas de seguridad recomendadas.

¿Debo restablecer mi teléfono si encuentro SlopAds?

Prueba primero las acciones menos invasivas: Play Protect, desinstalar, revocar permisos. Si la app impide la desinstalación o los síntomas persisten, considera el restablecimiento de fábrica como último recurso.

Glosario de un renglón

  • Adware: software que muestra anuncios intrusivos o no deseados.
  • C2 (comando y control): servidor que dirige la actividad de malware.
  • Webview oculto: componente que carga contenido web dentro de la app sin mostrarse al usuario.

Resumen y recomendaciones finales

SlopAds demuestra cómo una combinación de ingeniería social (instalaciones desde anuncios) y técnicas de ofuscación pueden permitir el fraude publicitario a gran escala dentro de una tienda oficial. Actúa rápido si detectas señales: ejecuta Play Protect, desinstala apps sospechosas, revoca permisos, restablece tu ID de publicidad y asegura tus dispositivos con políticas de instalación y herramientas de protección móvil.

Importante: si administras dispositivos corporativos, aplica controles centralizados y soluciones MTD. Para usuarios domésticos, evita instalar apps desde anuncios y revisa reseñas críticas antes de instalar.

Si necesitas, sigue esta guía paso a paso y comparte el resultado con tu equipo de TI o con foros de seguridad para ayudar a detectar nuevas variantes.

Compartir: X/Twitter Facebook LinkedIn Telegram
Autor
Edición

Materiales similares

Personaliza la pantalla de bloqueo en iOS 26
iOS

Personaliza la pantalla de bloqueo en iOS 26

Grabar llamadas en Android y iOS: guía práctica
Tecnología

Grabar llamadas en Android y iOS: guía práctica

Anikoto: seguridad, legalidad y alternativas
Streaming

Anikoto: seguridad, legalidad y alternativas

RatOn Android: qué es y cómo proteger tu teléfono
Ciberseguridad

RatOn Android: qué es y cómo proteger tu teléfono

Detecta y prueba tarjetas microSD falsas
Hardware

Detecta y prueba tarjetas microSD falsas

Copia y restauración de WhatsApp en Google Drive
Mensajería

Copia y restauración de WhatsApp en Google Drive