Encuentran aplicaciones que roban credenciales de Facebook en Google Play Store

18/01/2018

Incluso después de muchos esfuerzos realizados por Google el año pasado, las aplicaciones maliciosas siempre logran introducirse en la tienda de aplicaciones de Google.

Los investigadores de seguridad ahora han descubierto un nuevo malware, denominado GhostTeam, en al menos 56 aplicaciones en Google Play Store que está diseñado para robar credenciales de Facebook y mostrar agresivamente anuncios emergentes a los usuarios.

Descubiertas de forma independiente por dos firmas de seguridad cibernética, Trend Micro y Avast, las aplicaciones maliciosas se disfrazan como utilidades (como linterna, escáner de código QR y brújula), de aumento de rendimiento (como transferencia de archivos y limpieza), entretenimiento, estilo de vida y descargas de video.

Al igual que la mayoría de las aplicaciones de malware, estas aplicaciones de Android no contienen ningún código malicioso, por lo que se las arreglaron para terminar en Google Play Store.

Una vez instalado, primero confirma si el dispositivo no es un emulador o un entorno virtual y, en consecuencia, descarga el malware, lo que solicita a la víctima que apruebe los permisos de administrador del dispositivo para ganar persistencia en el dispositivo.

"La aplicación de descarga recoge información sobre el dispositivo, como el ID del dispositivo, ubicación, idioma y parámetros de visualización", dijo Avast. "La ubicación del dispositivo se obtiene de la dirección IP que se utiliza al contactar servicios en línea que ofrecen información de geolocalización para direcciones IP".

Cómo el malware de Android roba la contraseña de tu cuenta de Facebook

Tan pronto como los usuarios abren su aplicación de Facebook, el malware inmediatamente impulsa a volver a verificar la cuenta iniciando sesión en Facebook. En lugar de explotar cualquier sistema o vulnerabilidad de la aplicación, el malware utiliza un esquema clásico de phishing para realizar el trabajo.

Estas aplicaciones falsas simplemente lanzan un componente WebView con una página de inicio de sesión similar a Facebook y le piden a los usuarios que inicien sesión. Aparentemente, el código WebView roba el nombre de usuario y contraseña de Facebook de la víctima y los envía a un servidor remoto controlado por ciberatacantes.

"Esto probablemente se deba a que los desarrolladores utilizan navegadores web integrados (WebView, WebChromeClient) en sus aplicaciones, en lugar de abrir la página web en un navegador", dijo Avast.

Los investigadores de Trend Micro advierten que estas credenciales robadas de Facebook pueden reutilizarse posteriormente para entregar "malware mucho más perjudicial" o "amasar un ejército de medios sociales zombis" para difundir noticias falsas o generar malware de minería de datos criptográficos.

Las cuentas de Facebook robadas también pueden exponer "una gran cantidad de información financiera y de identificación personal", que luego se puede vender en los mercados negros.

Las firmas de seguridad creen que GhostTeam ha sido desarrollado y cargado en Play Store por un desarrollador vietnamita debido al considerable uso del idioma vietnamita en el código.

Según los investigadores, la mayoría de los usuarios afectados por el malware GhostTeam residen en India, Indonesia, Brasil, Vietnam y Filipinas.

Además de robar las credenciales de Facebook, el malware GhostTeam también muestra agresivamente anuncios emergentes manteniendo siempre el dispositivo infectado en alerta al mostrar anuncios no deseados en el fondo.

Desde entonces, Google ha eliminado todas las aplicaciones de Play Store luego de que los investigadores informaran a la empresa. Sin embargo, los usuarios que ya hayan instalado una de esas aplicaciones en sus dispositivos deben asegurarse de tener habilitada Google Play Protect.

La función de seguridad Play Protect utiliza aprendizaje automático y análisis de uso de la aplicación para eliminar (es decir, desinstalar) las aplicaciones maliciosas de los teléfonos inteligentes Android de los usuarios, en un esfuerzo por evitar cualquier daño adicional.

Aunque las aplicaciones maliciosas que están en la tienda de aplicaciones oficial son una preocupación interminable, la mejor manera de protegerse es siempre estar alerta cuando descargas aplicaciones, y siempre verificar los permisos y comentarios de la aplicación antes de descargar una.

Además, se recomienda encarecidamente tener una buena aplicación de antivirus en el dispositivo móvil que pueda detectar y bloquear dicha amenaza antes de que infecte el dispositivo, y lo más importante, siempre tener el dispositivo y aplicaciones actualizados.

Artículos relacionados: