Descubren 56 aplicaciones en la Play Store que intentan robar la contraseña de Facebook

Investigadores en seguridad de Trend Micro y Avast han descubierto que al menos 56 aplicaciones disponibles desde la Play Store han intentado robar contraseñas de Facebook y desplegar de forma agresiva ventanas emergentes con publicidad mediante un malware llamado GhostTeam.

Las aplicaciones maliciosas para Android se han hecho pasar por todo tipo de utilidades con el fin de atraer a usuarios, como linternas, escáneres de código QR, brújulas, transferencia de ficheros, limpiadores, entretenimiento e incluso descargadores de vídeos. Como ya ha pasado en otras ocasiones, las aplicaciones no contenían en sí ningún malware, lo que les permitió pasar los filtros de la Play Store.

Una vez instalada una de las aplicaciones maliciosas, lo primero que hace es comprobar que no está funcionando sobre un emulador o un entorno virtualizado, para luego descargar la carga útil con el malware. Después pedirá permisos de administración al usuario para que el malware se vuelva persistente en el dispositivo físico.

Además de intentar de robar la contraseña de Facebook, GhostTeam también se encarga de recolectar el ID único del dispositivo, la localización, el idioma y los parámetros de la pantalla. La localización la obtiene desde la dirección IP cuando el usuario contacta con servicios online que suministran información sobre geolocalización.

En caso de utilizar la aplicación oficial de Facebook, GhostTeam se encarga de colocar una ventana mediante el componente WebView para que el usuario vuelva a verificar su cuenta en la red social, siendo esto un ataque clásico de phishing. Trend Micro avisa que las credenciales robadas pueden ser usadas para esparcir malware más dañino o incluso crear una especie de ejército de zombis para difundir noticias falsas o generar malware de minado de criptomonedas.

Como las personas cada vez se exponen más en las redes sociales, las credenciales de Facebook robadas pueden también exponer otros tipos de datos como los financieros o una identificación personal más precisa, pudiendo ser convertidos en un artículo tentador en el mercado negro.

Avast y Trend Micro creen que GhostTeam es un malware creado por un desarrollador vietnamita, debido a la gran cantidad de código escrito en ese idioma encontrado. Al parecer ha impactado sobre todo en India, Indonesia, Brasil, Vietnam y Filipinas.

Google borró todas las aplicaciones maliciosas nada más ser informada por los investigadores de Trend Micro y Avast, sin embargo, los usuarios que aún las tengan instaladas todavía cargarán con el problema a menos que tengan Google Play Protect habilitado.

Fuente: The Hacker News