Aplicaciones de Android con 5,8 millones de instalaciones capturadas robando contraseñas de usuarios de Facebook
Google intervino para eliminar nueve aplicaciones de Android descargadas más de 5,8 millones de veces de la Play Store de la compañía después de que las aplicaciones fueran capturadas sigilosamente robando las credenciales de inicio de sesión de Facebook de los usuarios.
“Las aplicaciones eran completamente funcionales, lo que debería haber debilitado la vigilancia de las víctimas potenciales. Con esto, para poder acceder a todas las funciones de las aplicaciones y supuestamente para deshabilitar los anuncios en la aplicación, se les pidió a los usuarios que iniciaran sesión en sus cuentas de Facebook «, dijo el Dr. Web investigadores dicho. «Los anuncios dentro de algunas de las aplicaciones estaban realmente presentes, y este movimiento tenía la intención de alentar aún más a los propietarios de dispositivos Android a tomar las medidas necesarias».
Las aplicaciones infractoras enmascaran sus intenciones maliciosas, disfrazándose como programas de edición de fotos, limpiador de basura, fitness y astrología, solo para engañar a las víctimas para que inicien sesión en sus cuentas de Facebook y secuestran las credenciales ingresadas a través de un código JavaScript recibido de un adversario controlado por el servidor.
La lista de aplicaciones es la siguiente:
- Foto PIP (> 5,000,000 instalaciones)
- Procesando foto (> 500.000 instalaciones)
- Limpiador de basura (> 100.000 instalaciones)
- Horóscopo diario (> 100.000 instalaciones)
- Inwell Fitness (> 100.000 instalaciones)
- App Lock Keep (50.000 instalaciones)
- Lockit Master (5,000 instalaciones)
- Horóscopo Pi (> 1000 instalaciones)
- App Lock Manager (10 instalaciones)
En el último enlace del ataque, la información robada se exfiltró al servidor mediante las aplicaciones troyanizadas.
Si bien esta campaña específica parece apuntar a cuentas de Facebook, los investigadores web advirtieron que este ataque podría haberse expandido fácilmente para cargar la página de inicio de sesión de cualquier servicio web legítimo con el objetivo de robar inicios de sesión y contraseñas de cualquier plataforma.
El último lanzamiento llega días después de Google. Anunciado nuevas medidas para Play Store, incluida la exigencia de que las cuentas de desarrollador habiliten la verificación en dos pasos (2SV), proporcionen una dirección y verifiquen sus datos de contacto como parte de sus esfuerzos continuos para combatir las estafas y las cuentas de desarrollador fraudulentas.
De cualquier manera, el desarrollo es otro recordatorio de que los usuarios están mejor atendidos instalando aplicaciones de desarrolladores conocidos y confiables, tenga en cuenta los permisos solicitados por las aplicaciones y preste atención a los comentarios de otros usuarios antes de la instalación.