Las aplicaciones de Android instaladas 5,8 millones de veces robaron las contraseñas de los usuarios de Facebook
Last Updated on julio 19, 2021 by Daniel Cepeda
Los expertos de Google han eliminado nueve aplicaciones descargadas 5.856.010 veces de Google Play Store porque fueron descubiertas robando credenciales de Facebook.
El malware fue descubierto por investigadores de Doctor Web, y escriben que estos ladrones de troyanos se estaban propagando bajo la apariencia de aplicaciones inofensivas.
Se detectaron un total de 10 de estas aplicaciones maliciosas, nueve de las cuales estaban presentes en Google Play en el momento del descubrimiento:
- Processing Photo Editor (detectado por Doctor Web como PWS.Facebook.13). Fue distribuido por el desarrollador chikumburahamilton y se instaló más de 500.000 veces.
- App Lock Keep de Sheralaw Rence, App Lock Manager de Implummet col y Lockit Master de Enali mchicolo (detectado por PWS.Facebook.13) permiten a los usuarios restringir el acceso a los dispositivos Android y su software instalado. Se han descargado al menos 50.000, 10.000 y 5.000 veces respectivamente.
- Rubbish Cleaner, una utilidad de optimización de dispositivos Android del desarrollador SNT.rbcl, con más de 100.000 descargas (detectado como PWS.Facebook.13).
- Horoscope Daily del desarrollador HscopeDaily momo y Horoscope Pi del desarrollador Talleyr Shauna (detectado por PWS.Facebook.13). El primero se ha instalado más de 100.000 veces y el segundo más de 1.000.
- Inwell Fitness (detectado como PWS.Facebook.14) del desarrollador Reuben Germaine, que se ha instalado más de 100.000 veces.
- PIP Photo, un editor de imágenes distribuido por el desarrollador Lillians. Se detectan diferentes versiones de este programa como PWS.Facebook.17 y Android.PWS.Facebook.18. Esta aplicación tiene más de 5.000.000 de descargas.
Al investigar estas apps maliciosas, se detectó una modificación anterior que se distribuía a través de Google Play como EditorPhotoPip. Ya se había retirado del catálogo, pero seguía estando disponible en los sitios de agregación de aplicaciones. Se ha añadido a la base de datos de virus de la compañía como Android.PWS.Facebook.15.
Android.PWS.Facebook.13, Android.PWS.Facebook.14 y Android.PWS.Facebook.15 son aplicaciones nativas de Android, mientras que Android.PWS.Facebook.17 y Android.PWS.Facebook.18 utilizan el framework Flutter, diseñado para el desarrollo multiplataforma.
Todas las aplicaciones estaban plenamente operativas, lo que debería haber reducido la vigilancia de las posibles víctimas. Se pedía a los usuarios que iniciaran sesión en su cuenta de Facebook para acceder a todas sus funciones, así como, aparentemente, para desactivar los anuncios. Los anuncios estaban presentes en algunas de las aplicaciones, un truco diseñado para atraer a los propietarios de dispositivos Android a realizar la acción deseada por los autores.
Al mismo tiempo, el formulario de registro de Facebook mostrado era auténtico.
El hecho es que los troyanos utilizaban un mecanismo especial para engañar a sus víctimas. Una vez que obtuvieron la configuración necesaria de uno de los servidores de control, subieron una página legítima de red social (https://www.facebook.com/login.php) a WebView.
La misma WebView se cargó con JavaScript obtenido del servidor de los atacantes que interceptó directamente los datos de autorización introducidos.
Este JavaScript, utilizando métodos proporcionados a través de la anotación JavascriptInterface, pasaba entonces el nombre de usuario y la contraseña robados a la aplicación troyana, que los enviaba al servidor de los atacantes. Una vez que la víctima entraba en su cuenta, los troyanos robaban además la cookie de la sesión de inicio de sesión actual, que también se enviaba a los delincuentes.
El análisis demostró que todas las aplicaciones estaban configuradas para robar los inicios de sesión y las contraseñas de las cuentas de Facebook.
Sin embargo, los atacantes podrían cambiar fácilmente su configuración y ordenar que se descargue una página de algún otro servicio legítimo, o incluso utilizar un formulario de inicio de sesión completamente falso desde un sitio de phishing.
Así, los troyanos podrían utilizarse para robar los inicios de sesión y las contraseñas de cualquier servicio.