Aplicaciones con 5,8 millones de descargas de Google Play robaron las contraseñas de Facebook de los usuarios

Aplicaciones con 5,8 millones de descargas de Google Play robaron las contraseñas de Facebook de los usuarios

Mateusz Slodkowski / SOPA Images / LightRocket a través de Getty Images

Google ha dado el arranque a nueve aplicaciones de Android descargadas más de 5,8 millones de veces desde la compañía. Play marketplace después de que los investigadores dijeran que estas aplicaciones usaban una forma engañosa para robar las credenciales de inicio de sesión de Facebook de los usuarios.

En un intento por ganarse la confianza de los usuarios y bajar la guardia, las aplicaciones proporcionaron servicios en pleno funcionamiento para la edición y encuadre de fotografías, el ejercicio y el entrenamiento, los horóscopos y la eliminación de archivos basura de los dispositivos Android, según un correo

publicado por la firma de seguridad Dr. Web. Todas las aplicaciones identificadas ofrecieron a los usuarios la opción de deshabilitar los anuncios en la aplicación iniciando sesión en sus cuentas de Facebook. Los usuarios que eligieron la opción vieron un formulario de inicio de sesión de Facebook genuino que contenía campos para ingresar nombres de usuario y contraseñas.

Entonces, como escribieron los investigadores del Dr. Web:

Estos troyanos utilizaron un mecanismo especial para engañar a sus víctimas. Después de recibir la configuración necesaria de uno de los servidores de C&C al iniciar, cargaron la página web legítima de Facebook https://www.facebook.com/login.php en WebView. A continuación, cargaron JavaScript recibido del servidor C&C en el mismo WebView. Este script se usó directamente para secuestrar las credenciales de inicio de sesión ingresadas. Después de eso, este JavaScript, utilizando los métodos proporcionados a través de la anotación JavascriptInterface, pasó el nombre de usuario y la contraseña robados a las aplicaciones troyanas, que luego transfirieron los datos al servidor C&C de los atacantes. Una vez que la víctima inició sesión en su cuenta, los troyanos también robaron cookies de la sesión de autorización actual. Esas cookies también se enviaron a los ciberdelincuentes.

El análisis de los programas maliciosos mostró que todos recibieron configuraciones para robar inicios de sesión y contraseñas de cuentas de Facebook. Sin embargo, los atacantes podrían haber cambiado fácilmente la configuración de los troyanos y ordenarles que cargaran la página web de otro servicio legítimo. Incluso podrían haber utilizado un formulario de inicio de sesión completamente falso ubicado en un sitio de phishing. Por lo tanto, los troyanos podrían haberse utilizado para robar inicios de sesión y contraseñas de cualquier servicio.

Dr. Web

Los investigadores identificaron cinco variantes de malware escondidas dentro de las aplicaciones. Tres de ellas eran aplicaciones nativas de Android y las dos restantes usaban la de Google. Marco de aleteo, que está diseñado para compatibilidad multiplataforma. Dr. Web dijo que los clasifica a todos como el mismo troyano porque usan formatos de archivo de configuración idénticos y código JavaScript idéntico para robar datos de usuario.

Dr. Web identificó las variantes como:

La mayoría de las descargas fueron para una aplicación llamada Foto PIP, al que se accedió más de 5,8 millones de veces. La aplicación con el siguiente mayor alcance fue Procesando foto, con más de 500.000 descargas. Las aplicaciones restantes fueron:

Una búsqueda en Google Play muestra que todas las aplicaciones se han eliminado de Play. Un portavoz de Google dijo que la compañía también ha prohibido a los desarrolladores de las nueve aplicaciones de la tienda, lo que significa que no se les permitirá enviar nuevas aplicaciones. Eso es lo que debe hacer Google, pero no obstante, solo representa un obstáculo mínimo para los desarrolladores porque simplemente pueden registrarse para obtener una nueva cuenta de desarrollador con un nombre diferente por una tarifa única de $ 25.

Cualquiera que haya descargado una de las aplicaciones anteriores debe examinar minuciosamente su dispositivo y sus cuentas de Facebook para detectar cualquier signo de compromiso. Descargar una aplicación antivirus gratuita para Android de una empresa de seguridad conocida y escanear en busca de aplicaciones maliciosas adicionales tampoco es una mala idea. La oferta de Malwarebytes es mi favorito.

Leave a Reply

Your email address will not be published. Required fields are marked *