La tienda digital Google Play eliminó nueve aplicaciones para Android con cerca de 6 millones de descargas que escondían troyanos con los cuales se robaban las credenciales de acceso y contraseñas de la red social Facebook.

Este inconveniente fue identificado por la compañía de ciberseguridad Dr. Web y luego reportado a Google, que tomó la decisión de borrarlas para que los usuarios dejen de descargarla. Las aplicaciones escondían un archivo malicioso en diferentes tipos de plataformas como gestores de contraseñas, editores de imágenes o apps de horóscopo.

Las nueve aplicaciones que contenían este troyano eran las siguientes:

1. Processing Photo
2. App Lock Keep
3. Rubbish Cleaner
4. Horoscope Daily
5. Horoscope Pi
6. App Lock Manager
7. Lockit Master
8. Inwell Fitness
9. PIP Photo

La suma de descargas de todas ellas era de 5,8 millones.

Dr. Web alertó que, aunque ya han sido eliminadas de Google Play, aún siguen estando disponibles en plataformas de terceros y agregadores de apps. De ahí que los usuarios deben estar alerta y evitar descargarse el contenido desde cualquier sitio.

Las aplicaciones afectadas contenían una variante del troyano Android.PWS.Facebook.15, que utiliza formatos de archivo y scripts de Java para robar información del usuario. En este caso, se obtenían sus datos de acceso a Facebook.

Para hacerse con los datos de acceso a dicha red social, las plataformas les pedían a los usuarios que se identificasen con sus cuentas de la red social para acceder a funciones premium o dejar de recibir publicidad.

“Las aplicaciones eran completamente funcionales, lo que se suponía que debilitaría la vigilancia de las víctimas potenciales. Con eso, para acceder a todas las funciones de las aplicaciones y, supuestamente, para deshabilitar los anuncios en la aplicación, se pidió a los usuarios que iniciaran sesión en sus cuentas de Facebook. Los anuncios dentro de algunas de las aplicaciones estaban presentes, y esta maniobra tenía la intención de alentar aún más a los propietarios de dispositivos Android a realizar las acciones requeridas”, se menciona en el comunicado emitido por los investigadores de ciberseguridad.

Si los usuarios hacían clic en el botón de inicio de sesión en la red social, veían la página estándar lo cual minimiza sospechas. Pero los troyanos utilizaron un mecanismo especial para engañar a sus víctimas. Después de recibir la configuración necesaria de uno de los servidores al iniciar cesión, cargaban la página web legítima de Facebook en WebView.

“A continuación, cargaban el JavaScript recibido del servidor C&C en el mismo WebView. Este script se usó directamente para secuestrar las credenciales de inicio de sesión ingresadas. Después de eso, este JavaScript, utilizando los métodos proporcionados a través de la anotación JavascriptInterface, pasó el nombre de usuario y la contraseña robados a las aplicaciones troyanas, que luego transfirieron los datos al servidor C&C de los atacantes. Una vez que la víctima iniciaba sesión en su cuenta, los troyanos también robaban las cookies de la sesión de autorización actual. Esas cookies también se enviaron a los ciberdelincuentes”, se destaca en el informe.

Aunque los ataques se centraban en obtener los datos de acceso de los usuarios, los investigadores de ciberseguridad explicaron que su método podía aplicarse también a cualquier otro tipo de formulario en sitios de phishing, y que los troyanos podrían haberse usado para robar credenciales de cualquier otro servicio.

Como medida de precaución, los usuarios deben analizar la reputación que tienen las aplicaciones en las tiendas, para lo cual es importante ver números de descargas y comentarios de otros usuarios. Y aún así, cuando se descargue una plataforma, aunque parezca segura, si lo invita a iniciar sesión en alguna red social o sitio con sus credenciales, si el usuario tiene dudas es mejor evitar hacer esto ya que podría poner en riesgo su información.

@diarioelsolconcordia