Aplicaciones con millones de descargas en Google Play robaban credenciales de Facebook
Investigadores encontraron en Google Play un conjunto de nueve aplicaciones maliciosas para Android. Estas aplicaciones robaban las credenciales de Facebook y juntas tenían más de 5.9 millones de instalaciones antes de que Google las eliminara.
Según los analistas de malware de Dr. Web, las aplicaciones eran completamente funcionales. Por lo tanto, las víctimas desconocían el hecho de que habían descargado malware en sus dispositivos Android. Sin embargo, las ventanas emergentes informaban a los usuarios que para acceder a todas las funciones de las aplicaciones y deshabilitar los anuncios en la aplicación, los usuarios deberían iniciar sesión en sus cuentas de Facebook. Una vez que lo hicieron, se robaron sus contraseñas y nombres de usuario.
“Los anuncios dentro de algunas de las aplicaciones estaban realmente presentes. Y, esta maniobra tenía la intención de alentar aún más a los propietarios de dispositivos Android a realizar las acciones requeridas”.
Afirmaciones de los investigadores en una publicación reciente.
Las aplicaciones maliciosas fueron detectadas como troyanos llamados Android.PWS.Facebook.13, Android.PWS.Facebook.14, Android.PWS.Facebook.17 o Android.PWS.Facebook.18, según la firma, todas las ligeras variaciones en el mismo código.
“Mientras que Android.PWS.Facebook.13 [y] Android.PWS.Facebook.14… son aplicaciones nativas de Android, Android.PWS.Facebook.17 y Android.PWS.Facebook.18 utilizaban el framework Flutter diseñado para multiplataforma.”
A pesar de esto, todos ellas pueden considerarse modificaciones del mismo troyano. Todas las aplicaciones utilizaban formatos de archivo de configuración idénticos y scripts JavaScript idénticos para robar datos del usuario”.
Aplicaciones maliciosas
El listado de aplicaciones maliciosas te lo muestro a continuación:
- PIP Photo, un editor de imágenes del desarrollador “Lillians” (5 millones de descargas)
- Processing Photo, un software de edición de fotografías de un desarrollador llamado “chikumburahamilton” (más de 500,000 instalaciones)
- Rubbish Cleaner, una utilidad para optimizar el rendimiento del dispositivo Android, del desarrollador “SNT.rbcl” (100,000 instalaciones)
- Horoscope Daily del desarrollador “HscopeDaily momo” (más de 100,000 instalaciones)
- Inwell Fitness del desarrollador “Reuben Germaine” (más de 100,000 instalaciones)
- App Lock Keep, que habilita limitaciones de acceso para varias aplicaciones, del desarrollador “Sheralaw Rence” (más de 50,000 instalaciones)
- Lockit Master (otra aplicación de limitación de acceso) del desarrollador “Enali mchicolo” (5,000 instalaciones)
- Horoscopo Pi del desarrollador “Talleyr Shauna” (más de 1000 instalaciones)
- App Lock Manager (otra aplicación que limita el acceso) del desarrollador “Implummet col” (10 instalaciones)
“Por supuesto, el propósito principal de estas actividades es recolectar nombres de usuario y contraseñas para ataques posteriores de relleno de credenciales”.
David Stewart, CEO de Approov
Lo que todas las empresas pueden hacer para protegerse a sí mismas y a sus usuarios contra tales vulnerabilidades es asegurarse de que las credenciales de usuario no sean suficientes por sí mismas para iniciar sesión en las cuentas. Se debe exigir que se presente un segundo factor verificado de forma independiente, como un código de acceso único o un token de autenticación de la aplicación. Esto junto con las credenciales del usuario reduciría drásticamente la superficie de ataque.
Inicio de sesión legítimo en Facebook y WebView
El mecanismo por el cual se realizó la recolección de credenciales es interesante, dado que según los investigadores usaron una página legítima de Facebook, (https://www.facebook.com/login.php).
El formulario mostrado era genuino. Estos troyanos utilizaron un mecanismo especial para engañar a sus víctimas. Después de recibir la configuración necesaria de uno de los servidores de comando y control (C2) al iniciarse, cargaron la página web legítima de Facebook en WebView. A continuación, cargaron el script JavaScript recibido del servidor C2 en el mismo WebView. Este script se usó directamente para secuestrar las credenciales de inicio de sesión ingresadas.
Después de eso, JavaScript envió las credenciales robadas a las aplicaciones, que a su vez las enviaron al servidor C2 de los atacantes.
Los troyanos también robaron cookies de la sesión de autorización actual una vez que el usuario inició sesión en Facebook.
El análisis de los programas maliciosos mostró que, si bien están diseñados para afectar las cuentas de Facebook, los atacantes podrían haber realizado otras acciones.
Los atacantes podrían haber cambiado fácilmente la configuración de los troyanos y ordenarles que cargaran la página web de otro servicio legítimo, afirmaron los investigadores. Incluso podrían haber usado un formulario de inicio de sesión completamente falso ubicado en un sitio de phishing. Por lo tanto, los troyanos podrían haberse utilizado para robar inicios de sesión y contraseñas de cualquier servicio.
Para protegerte, como usuario debes prestar atención a cuándo y qué aplicaciones te piden que inicies sesión en otras cuentas. También debes consultar las reseñas de cualquier aplicación que descargues y verificar la legitimidad del desarrollador.
Si bien las revisiones no ofrecen una garantía absoluta de que las aplicaciones sean inofensivas, estas pueden alertarte sobre posibles amenazas.
Aplicaciones maliciosas de Google Play
También es muy importante recordar que la tienda oficial de Google Play no es ajena a las aplicaciones maliciosas. En marzo, por ejemplo, se encontró un instalador de malware nunca antes visto, Clast82, oculto en aplicaciones de Android. Este instalaba los malwares AlienBot y MRAT en un intento por recopilar la información financiera de las víctimas.
El instalador, denominado Clast82, estaba disfrazado de aplicaciones benignas. Las aplicaciones no tenían ningún payload malicioso hasta antes de que fueron revisadas y aprobadas por Google Play Protect.
Luego está el troyano Joker, que continúa infiltrándose en Google Play. Joker ha existido desde 2017 realizando operaciones de fleeceware. Es decir, estas aplicaciones se promocionan como juegos, fondos de pantalla, apps de mensajería traductores y editores de fotos. No obstante, una vez instaladas, simulan clics e interceptan mensajes SMS para suscribir a las víctimas a servicios premium de pago no deseados.
En septiembre, los investigadores de Zscaler encontraron 17 muestras diferentes de Joker que se cargaban regularmente en Google Play.
“La proliferación incontrolada de troyanos móviles en la tienda Google Play continúa causando estragos. Estas se dedican al robo de credenciales y otra información de identificación personal (PII) de los usuarios”, dijo Rajiv Pimplaskar, CRO de Veridium
Si bien se pueden identificar varias causas, el problema principal es la excesiva dependencia de la industria del software de las contraseñas. Las contraseñas son la raíz de más del 80% de las filtraciones de datos y los ataques de ransomware en todo el mundo.