Los investigadores de Dr. Web encontraron nueve aplicaciones con más de 5.8 millones de descargas combinadas que roban sigilosamente las contraseñas de Facebook de un usuario utilizando una página de inicio de sesión de Facebook genuina. En el momento de escribir este artículo, Google prohibió al desarrollador y eliminó estas nueve aplicaciones de Play Store, pero si ha descargado alguna de ellas, es hora de cambiar sus contraseñas.
¿Cómo robaron los datos las aplicaciones?
De acuerdo con Investigadores del Dr. Web, el desarrollador, chikumburahamilton, ha creado aplicaciones completamente funcionales para edición de fotos, ejercicios, horóscopos y limpieza de basura (entre otros). Después de cierto punto, estas aplicaciones pedirían a los usuarios que se conectaran usando Facebook para desbloquear la funcionalidad completa de la aplicación.
Cuando los usuarios hicieron esto, la aplicación inició su propio servidor C&C (un servidor de comando y control controlado por el desarrollador que se usa para copiar y almacenar datos desde una página web). Después de recibir la configuración del servidor C&C, la aplicación cargó y cargó la página de inicio de sesión legítima de Facebook.
Luego, la aplicación cargó el JavaScript recibido del servidor C&C en la página de inicio de sesión de Facebook (el código JavaScript es versátil y se puede ingresar en cualquier momento, incluso cuando un usuario simplemente toca un campo de texto). Este código Javascript se utilizó para copiar el nombre de usuario y la contraseña.
G / O Media puede recibir una comisión
Luego, JavaScript pasó los datos copiados a la aplicación, que a su vez los pasó al servidor C&C de la aplicación, donde se guardaron. Una vez que el usuario inicia sesión en la aplicación, la aplicación también roba cookies de la sesión autorizada actual, que a su vez se envían a los ciberdelincuentes.
En este caso, las aplicaciones solo utilizaron la página de inicio de sesión de Facebook genuina. Pero debido a la forma en que funcionan los servidores JavaScript y C&C, podrían haberlo hecho fácilmente con cualquier servicio que requiera inicio de sesión.
¿Qué puedes hacer al respecto?
Lo primero que debe hacer es verificar que estaba ejecutando una de estas nueve aplicaciones:
- Foto PIP
- procesando foto
- limpiador de basura
- Inwell Fitness
- Horóscopo diario
- App Lock Keep
- Master Lockit
- Horóscopo Pi
- Administrador de bloqueo de aplicaciones
Si tiene alguna de estas aplicaciones instalada, el primer paso es desinstalar la aplicación.
Entonces, si usó el inicio de sesión de Facebook con la aplicación, necesita restablezca su contraseña inmediatamente.
Entonces estad atentos. Utilice una aplicación antivirus confiable como malwarebytes para detectar aplicaciones de códigos maliciosos. Si es posible, evite conectar servicios de terceros como Facebook con aplicaciones aleatorias descargadas de Play Store. Debido a la forma en que funciona Play Store, es trivialmente fácil para los desarrolladores volver a insertar y volver a cargar aplicaciones, incluso después de desconectarse (una licencia de desarrollador cuesta solo $ 25).
Por último, llama Autenticación de dos factores a cualquier sitio que lo permita y emparejarlo con un administrador de contraseñas. Esto le ayudará a generar y almacenar de forma segura contraseñas largas. E incluso si la filtración de un sitio web revela su contraseña, la autenticación de dos factores lo protegerá de los piratas informáticos.
[[[[Ars Technica]
«Introvertido. Solucionador de problemas. Aficionado total a la cultura pop. Estudiante independiente. Creador».