Ilustração de malware no Android para roubar passwords do facebook

aplicaciones con 5,8 millones de descargas utilizadas para robar sus contraseñas de Facebook

Existe una lucha constante para limpiar las tiendas de aplicaciones de las estafas de malware que atacan a los usuarios. Esta vez, los investigadores descubrieron 9 aplicaciones que usaban un truco para robar contraseñas de Facebook a los usuarios de Android. La peor parte es que estas no son aplicaciones de nicho, es decir, tienen más de 5,8 millones de descargas, lo que hace que la gran cantidad de usuarios con sus teléfonos inteligentes «comprometidos» ya sea considerable.

Google ya los ha eliminado después de que los investigadores de una empresa de seguridad descubrieron modo operatorio de los criminales.

Ingeniería social para robar contraseñas de Facebook

El esquema era simple desde el punto de vista de ganarse la confianza del usuario. Según la compañía de seguridad detrás del descubrimiento, las aplicaciones proporcionaron servicios completamente funcionales para la edición y encuadre de fotos, el ejercicio y el entrenamiento, los horóscopos y la eliminación de archivos basura de los dispositivos Android.

Todas las aplicaciones identificadas ofrecieron a los usuarios la opción de optar por no recibir anuncios dentro de la aplicación iniciando sesión en sus cuentas de Facebook. Los usuarios que eligieron la opción vieron un formulario de inicio de sesión de Facebook real con campos para ingresar nombres de usuario y contraseñas.

¿Qué tan fácil es el paso para tener una aplicación funcional, gratuita y sin publicidad? Millones de personas han caído en esta trampa simple pero eficaz.

Estos troyanos utilizaron un mecanismo especial para engañar a sus víctimas. Después de recibir la configuración necesaria de uno de los servidores de C&C en el lanzamiento, cargaron la página web legítima de Facebook https://www.facebook.com/login.php en WebView. Luego cargaron el JavaScript recibido del servidor C&C en el mismo WebView.

Este script se utilizó directamente para secuestrar las credenciales de inicio de sesión ingresadas. Después de eso, este JavaScript, utilizando los métodos proporcionados a través de la anotación JavascriptInterface, pasó el nombre de usuario y la contraseña robados a las aplicaciones troyanas, que luego reenviaron los datos al servidor C&C de los atacantes.

Una vez que la víctima inició sesión en su cuenta, los troyanos también robaron las cookies de la sesión de autorización actual. Estas cookies también se enviaron a los ciberdelincuentes.

explicaron los investigadores de la empresa Dr Web.

Imagen de aplicaciones de Android que contienen malware que robaron el inicio de sesión de Facebook

El mecanismo podría usarse para robar contraseñas de cualquier servicio

Según un análisis de expertos, todas estas aplicaciones maliciosas fueron las responsables de robar los nombres de usuario y las contraseñas de las cuentas de Facebook. Sin embargo, los atacantes podrían haber cambiado fácilmente la configuración de los troyanos y ordenarles que cargaran la página web de otro servicio legítimo.

De hecho, con este mecanismo, incluso podrían haber utilizado un formulario de inicio de sesión completamente falso ubicado en un sitio de phishing. Así, los troyanos podrían haberse utilizado para robar nombres de usuario y contraseñas de cualquier servicio.

Los investigadores han identificado cinco variantes de malware ocultas en las aplicaciones. Tres de ellas eran aplicaciones nativas de Android y las otras dos usaban el marco Flutter de Google, que fue diseñado para compatibilidad multiplataforma.

La compañía de seguridad dijo que los clasifica a todos como el mismo troyano porque usan formatos de archivo de configuración idénticos y código JavaScript idéntico para robar datos de usuario.

Las variantes identificadas por la empresa son:

Más de 5,8 millones de descargas de aplicaciones de Android que contienen malware

La mayoría de las descargas fueron a una aplicación llamada PIP Photo. Este se ha descargado más de 5,8 millones de veces. La siguiente aplicación más ambiciosa fue Processing Photo, con más de 500.000 descargas.

Imagen de la aplicación de Android con malware

Las otras nominaciones fueron:

Una búsqueda en Google Play muestra que todas las aplicaciones se han eliminado de la tienda. Un portavoz de Google dijo que la compañía también prohibió a los creadores de las nueve aplicaciones de la tienda, lo que significa que no se les permitirá enviar nuevas aplicaciones.

Google no tendría otra forma de lidiar, incluso si es una acción suave, porque eso no es lo que los detendrá. Pueden crear fácilmente una nueva cuenta, con un nombre diferente, pagar los $ 25 e intentar engañar a los usuarios de Google y Android nuevamente. Fácil, ¿verdad?

Tenga cuidado si los ha descargado en su teléfono inteligente

Cualquiera que haya descargado cualquiera de las aplicaciones anteriores debe escanear cuidadosamente su dispositivo y cuentas de Facebook en busca de signos de un ataque.

Si posiblemente ha instalado alguna de estas aplicaciones en su Android, elimine y cambie inmediatamente su contraseña de Facebook.

Deja una respuesta