ActualidadAndroid

Un malware de robo de contraseñas de Android infecta a 100.000 usuarios de Google Play

Una aplicación maliciosa para Android que roba las credenciales de Facebook se ha instalado más de 100 000 veces a través de Google Play Store, y la aplicación todavía está disponible para descargar.

El malware de Android se disfraza de una aplicación de dibujos animados llamada «Craftsart Cartoon Photo Tools», que permite a los usuarios subir una imagen y convertirla en un renderizado de dibujos animados.

Por muy populares y divertidas que puedan ser estas aplicaciones de caricaturización, las personas deben ser muy cautelosas al instalar software que les exija introducir información confidencial como datos biométricos (imágenes de sus caras)

Durante la semana pasada, los investigadores de seguridad y la empresa de seguridad móvil Pradeo descubrieron que la aplicación Android incluye un troyano llamado «FaceStealer«, que muestra una pantalla de inicio de sesión en Facebook que requiere que los usuarios inicien sesión antes de usar la aplicación.

Un malware de robo de contraseñas de Android infecta a 100.000 usuarios de Google Play 1
Aplicación que solicita al usuario que inicie sesión en Facebook (Pradeo)

Según el investigador de seguridad de Jamf Michal Rajčan, cuando los usuarios introduzcan sus credenciales, la aplicación los enviará a un servidor de comando y control en zutuu[.]info [VirusTotal], que los atacantes pueden recoger.

Además del servidor C2, la aplicación maliciosa de Android se conectará a www.dozenorms[.]club URL [VirusTotal] donde se envían más datos, y que se ha utilizado en el pasado para promocionar otras aplicaciones maliciosas de FaceStealer para Android.

Un malware de robo de contraseñas de Android infecta a 100.000 usuarios de Google Play 2
Envío de datos a dozenorms[.]servidor de club
Fuente: BleepingComputer

Como explica Pradeo en su informe, el autor y el distribuidor de estas aplicaciones parecen haber automatizado el proceso de reembalaje e inyectado un pequeño fragmento de código malicioso en una aplicación que de otro modo sería legítima.

Esto ayuda a las aplicaciones a pasar por el procedimiento de investigación de Play Store sin levantar ninguna señal de alerta. Tan pronto como el usuario lo abre, no se le da ninguna funcionalidad real a menos que inicie sesión en su cuenta de Facebook.

Sin embargo, una vez que inicien sesión, la aplicación proporcionará una funcionalidad limitada al cargar una imagen especificada en el editor en línea, http://color.photofuneditor.com/, que aplicará un filtro gráfico a la imagen.

Esta nueva imagen se mostrará en la aplicación, donde el usuario la puede descargar o enviar a amigos.

Como muchas aplicaciones requieren innecesariamente que los usuarios inicien sesión en un servidor, en muchos casos Facebook, los usuarios se han quedado entumecidos a estas indicaciones de inicio de sesión y, más comúnmente, introducen sus credenciales sin sospechas.

Signos de problemas

Por muy populares y divertidas que puedan ser estas aplicaciones de caricaturización, las personas deben ser muy cautelosas al instalar software que les exija introducir información confidencial como datos biométricos (imágenes de sus caras).

Via: BleepingComputer

Botón volver arriba