Google eliminó nueve aplicaciones de Android descargadas más de 5,8 millones de veces desde el mercado Play de la compañía, después de que expertos dijeran que estas aplicaciones utilizaban una forma furtiva de robar las credenciales de acceso a Facebook de los usuarios.
En un intento de ganarse la confianza de los usuarios y bajar la guardia, las aplicaciones ofrecían servicios totalmente funcionales de edición y encuadre de fotos, ejercicio y entrenamiento, horóscopos y eliminación de archivos basura de los dispositivos Android, según un post publicado por la empresa de seguridad Dr. Web. Todas las aplicaciones identificadas ofrecían a los usuarios la opción de desactivar los anuncios dentro de la aplicación iniciando sesión en sus cuentas de Facebook. Los que elegían la opción veían un auténtico formulario de inicio de sesión de Facebook con campos para introducir nombres de usuario y contraseñas.
Estos troyanos utilizaban un mecanismo especial para engañar a sus víctimas. Después de recibir la configuración necesaria de uno de los servidores C&C en el momento del lanzamiento, cargaban la página web legítima de Facebook https://www.facebook.com/login.php en WebView. A continuación, cargaban el JavaScript recibido del servidor de C&C en el mismo WebView. Este script se utilizaba directamente para secuestrar las credenciales de acceso introducidas. Después, este JavaScript, utilizando los métodos proporcionados a través de la anotación JavascriptInterface, pasaba el nombre de usuario y la contraseña robados a las aplicaciones troyanas, que luego transferían los datos al servidor de C&C de los atacantes. Después de que la víctima iniciara sesión en su cuenta, los troyanos también robaban las cookies de la sesión de autorización actual. Esas cookies también se enviaban a los ciberdelincuentes.
El análisis de los programas maliciosos mostró que todos ellos recibían configuraciones para robar los inicios de sesión y las contraseñas de las cuentas de Facebook. Sin embargo, los atacantes podrían haber cambiado fácilmente la configuración de los troyanos y haberles ordenado cargar la página web de otro servicio legítimo. Incluso podrían haber utilizado un formulario de inicio de sesión completamente falso ubicado en un sitio de phishing. Así, los troyanos podrían haber sido utilizados para robar los inicios de sesión y las contraseñas de cualquier servicio.
Los investigadores identificaron cinco variantes de malware escondidas dentro de las aplicaciones. Tres de ellas eran aplicaciones nativas de Android, y las dos restantes utilizaban el framework Flutter de Google, diseñado para la compatibilidad entre plataformas. Dr. Web dijo que los clasifica a todos como el mismo troyano porque utilizan formatos de archivos de configuración idénticos y código JavaScript idéntico para robar los datos del usuario.
Las aplicaciones eliminadas, son las siguientes:
PIP Photo
Processing Photo
Limpiador de basura
Horóscopo diario
Inwell Fitness
App Lock Keep
Lockit Master
Horoscope Pi
App Lock Manager
Con información de: Europa press.
