Imagen ilustrativa
Google eliminó nueve aplicaciones de Android con más de 5,8 millones de descargas combinadas de su Play Store después de que los investigadores descubrieron que contenían código malicioso utilizado para robar las credenciales de inicio de sesión de Facebook de los usuarios, según la firma rusa de software antivirus Dr. Web.
Según lo informado por Ars Technica, estas aplicaciones de troyanos fueron diseñadas para verse y funcionar como servicios legítimos para editar fotos, hacer ejercicio, limpiar el espacio de almacenamiento en tu dispositivo y proporcionar horóscopos diarios, dijeron los analistas de malware de Dr. Web en una publicación. En realidad, todo esto fue elaborado para engañar a los usuarios para que compartieran sus nombres de usuario y contraseñas de Facebook.
Así es como funcionó el esquema: cada uno ofreció a los usuarios una opción para desbloquear todas las funciones de las aplicaciones y deshacerse de los anuncios en la aplicación al iniciar sesión en sus cuentas de Facebook, lo que probablemente no llamaría la atención, ya que muchos servicios móviles te permiten sincronizar tus cuentas de redes sociales. Al elegir esta opción, las aplicaciones cargarían una página de inicio de sesión de Facebook legítima que contiene campos para ingresar nombres de usuario y contraseñas. Cualquier cosa que los usuarios escribieran en estos formularios iría directamente a una computadora controlada por los hackers, llamada servidor de comando y control, a través de un código malicioso inteligentemente oculto, los investigadores del Dr. Web escribieron:
Estos troyanos utilizaron un mecanismo especial para engañar a sus víctimas. Después de recibir la configuración necesaria de uno de los servidores de C&C al iniciar, cargaron la página web legítima de Facebook https://www.facebook.com/login.php en WebView. A continuación, cargaron JavaScript recibido del servidor C&C en el mismo WebView.
Este script se usó directamente para secuestrar las credenciales de inicio de sesión ingresadas. Después de eso, este JavaScript, utilizando los métodos proporcionados a través de la anotación JavascriptInterface, pasó el nombre de usuario y la contraseña robados a las aplicaciones troyanas, que luego transfirieron los datos al servidor C&C de los atacantes. Una vez que la víctima inició sesión en su cuenta, los troyanos también robaron cookies de la sesión de autorización actual. Esas cookies también se enviaron a los ciberdelincuentes.
Los analistas descubrieron 10 aplicaciones de troyanos maliciosos en total, nueve de las cuales estaban disponibles anteriormente en Google Play Store. Dos aplicaciones que se hacen pasar por servicios de edición de fotografías componen la mayoría de las descargas con diferencia: PIP Photo con más de 5 millones de instalaciones y Processing Photo con más de 500.000. Otras tres aplicaciones tuvieron más de 100.000 descargas cada una.
Si descargaste alguna de las aplicaciones que se enumeran a continuación, debes considerar actualizar tu información de inicio de sesión de Facebook inmediatamente y verificar tus otras cuentas online para detectar actividad fraudulenta:
Processing Photo
PIP Photo
Rubbish Cleaner
App Lock Keep
App Lock Manager
Lockit Master
Horoscope Pi
Horoscope Daily
Inwell Fitness
Los analistas identificaron cinco variantes de malware ocultas dentro de estas aplicaciones: Android.PWS.Facebook.13, Android.PWS.Facebook.14 y Android.PWS.Facebook.15, que son nativas de las aplicaciones de Android, y Android.PWS.Facebook.17 y Android.PWS.Facebook.18, que utilizan el marco Flutter de Google diseñado para compatibilidad multiplataforma.
Dado que todos utilizan métodos, códigos y formatos de archivo casi idénticos para robar datos del usuario, Dr. Web clasifica a los cinco como el mismo troyano.
Las nueve aplicaciones ya no aparecen en los resultados de búsqueda de Play Store. Un portavoz de Google le dijo a Ars Technica que los desarrolladores detrás de estas aplicaciones también han sido bloqueados, lo que les impide enviar nuevas aplicaciones.
Gizmodo
Acerca del autor
