Más de 200 apps en Google Play Store infectadas con el malware Facestealer
Last Updated on julio 20, 2022 by Daniel Cepeda
Los analistas de Trend Micro se dieron cuenta de que el malware Facestealer sigue infiltrándose en la Google Play Store. Recientemente se han detectado más de 200 variantes del malware en la tienda oficial de aplicaciones. El malware ya ha sido eliminado de Google Play Store.
Encontraron una serie de apps en Google Play diseñadas para realizar actividades maliciosas, como el robo de credenciales de usuario y otra información sensible de los usuarios, incluidas las claves privadas.
El software espía Facestealer se documentó por primera vez en un informe de Dr.Web de julio de 2021 en el que se detallaba cómo robaba las credenciales de Facebook de los usuarios a través de aplicaciones falsas de Google Play. Estas credenciales robadas podrían utilizarse para comprometer las cuentas de Facebook con fines maliciosos, como el phishing, las publicaciones falsas y los bots publicitarios.
Al igual que Joker , otro malware para móviles, Facestealer cambia frecuentemente su código, generando múltiples variantes. Desde su descubrimiento, el programa espía ha atacado constantemente a Google Play.
Recapitulando, Facestealer fue detectado por primera vez en 2021, y en marzo de este año los especialistas de IS en Pradeo encontraron aplicaciones infectadas instaladas más de 100.000 veces en Google Play Store.
Como su nombre indica, Facestealer está diseñado para robar los inicios de sesión y las contraseñas de las cuentas de Facebook, que luego son utilizadas por los ciberdelincuentes para crear estafas de phishing, publicar falsificaciones y actuar como bots publicitarios.
Trend Micro informa ahora de que algunas de las aplicaciones detectadas se instalaron más de 100.000 veces. El informe señala que las aplicaciones infectadas por Facestealer suelen tener el aspecto de herramientas de edición, procesamiento o intercambio de fotografías, pero también pueden adoptar otras formas.
Por ejemplo, los investigadores hablan de Daily Fitness OL, que se anuncia como una aplicación de fitness con ejercicios y tutoriales en vídeo. Dice ser una aplicación de fitness con ejercicios y demostraciones en vídeo. Pero al igual que la versión original, estaba diseñada para robar las credenciales de los usuarios de Facebook.
Esta falsa aplicación de fitness pide a los usuarios que inicien sesión en Facebook a través de un navegador incrustado, y luego se “inyecta código JavaScript en la página cargada para robar las credenciales introducidas por el usuario”.
Después de que el usuario se conecte con éxito a la cuenta, la aplicación recoge una cookie. A continuación, el programa espía cifra toda la información personal (PII) y la envía a un servidor remoto.
Otras aplicaciones infectadas por Facestealer encontradas por Trend Micro son Enjoy Photo Editor, Panorama Camera, Photo Gaming Puzzle, Swarm Photo y Business Meta Manager.
Otra aplicación falsa llamada Enjoy Photo Editor utiliza muchos procedimientos similares a la aplicación Daily Fitness OL. En concreto, los métodos básicos de robo de credenciales son los mismos: la recogida de credenciales mediante la inyección de código JavaScript y la recopilación de cookies después de que la víctima inicie sesión con éxito en sus cuentas.
Pero esta aplicación se diferencia por trasladar la descarga de la configuración de la víctima y la descarga de credenciales a su propio código, y por ofuscar la aplicación para dificultar su detección por parte de las soluciones de seguridad.
Conclusión y recomendaciones
Las aplicaciones Facestealer se hacen pasar por herramientas sencillas como la red privada virtual (VPN), la cámara, el editor de fotos y las aplicaciones de fitness, lo que las hace atractivas para las personas que utilizan este tipo de aplicaciones. Debido a la forma en que Facebook aplica su política de gestión de cookies, creemos que este tipo de aplicaciones seguirá molestando a Google Play.
En cuanto a las falsas aplicaciones de minería de criptomonedas, sus operadores no sólo intentan beneficiarse de sus víctimas engañándolas para que compren falsos servicios de minería de criptomonedas en la nube, sino que también intentan recopilar claves privadas y otra información sensible relacionada con las criptomonedas de los usuarios que están interesados en lo que ofrecen.
De cara al futuro, creemos que es probable que haya otras formas de robar claves privadas y frases mnemotécnicas.
Los usuarios pueden evitar estas aplicaciones falsas revisando sus reseñas, especialmente las negativas, para ver si hay algún problema o experiencia inusual de usuarios reales que hayan descargado las aplicaciones.
Los usuarios también deberían hacer la debida diligencia sobre los desarrolladores y editores de estas aplicaciones para poder evitar mejor las aplicaciones con sitios web dudosos o editores poco fiables, especialmente teniendo en cuenta el número de alternativas en la tienda de aplicaciones.
Por último, los usuarios deben evitar descargar aplicaciones de fuentes de terceros, ya que es ahí donde muchos atacantes colocan sus aplicaciones falsas.
Anteriormente
