Después de que se descubrió que había robado las credenciales de inicio de sesión de Facebook Inc. del usuario, Google LLC eliminó nueve aplicaciones de Android de Play Store, una de las cuales tiene millones de usuarios.
Encontrar Los analistas de malware de Dr. Web describieron estas aplicaciones como “troyanos robadores” el 1 de julio. Se propagan en forma de software inofensivo y se han instalado casi 6 millones de veces. A diferencia de algunos casos anteriores en los que se encontraron aplicaciones maliciosas de Android, las aplicaciones en este caso brindan servicios legales como edición y encuadre de fotos, ejercicio y entrenamiento, horóscopo y eliminación de archivos basura.
Las aplicaciones incluyen PIP Photo, con hasta 5 millones de instalaciones; procesamiento de hasta 500,000 fotos instaladas; Rubbish Cleaner, Horoscope Daily e Inwell Fitness, con hasta 100,000 instalaciones; y App Lock Keep con hasta 50,000 instalaciones. Lockit Master, Horoscope Pi y App Lock Manager encabezaron la lista.
Por lo general, entre aplicaciones, los usuarios pueden desactivar los anuncios en la aplicación iniciando sesión en su cuenta de Facebook. El analista señaló que “la publicidad existe en algunas aplicaciones, y este enfoque está diseñado para alentar aún más a los propietarios de dispositivos Android a realizar las acciones necesarias”.
Los usuarios de la aplicación que elijan esta opción verán la información de inicio de sesión de Facebook estándar, pero hay una diferencia: la página de inicio de sesión de Facebook real se muestra en WebView y se carga JavaScript para secuestrar las credenciales de inicio de sesión ingresadas.
Cuando los usuarios ingresan sus detalles de inicio de sesión de Facebook, JavaScript enviará sus credenciales al servidor de control y comando del atacante, y los usuarios que inicien sesión con éxito en Facebook no obtendrán nada. Una vez que la víctima inicia sesión en su cuenta, el troyano también robará las cookies de la sesión autorizada actual.
Aunque estas aplicaciones están dirigidas a cuentas de Facebook, también pueden dirigirse a cuentas en otros servicios. “Los atacantes pueden cambiar fácilmente la configuración del caballo de Troya y ordenarles que carguen una página web de otro servicio legítimo”, explicó el analista. “Incluso pueden usar formularios de inicio de sesión completamente falsos ubicados en sitios de phishing. Por lo tanto, los caballos de Troya pueden usarse para robar nombres de inicio de sesión y contraseñas de cualquier servicio”.
Google no ha emitido una declaración pública sobre estas aplicaciones. Ars Technica Informe El viernes, la aplicación fue eliminada de la tienda. Un portavoz de Google le dijo a Ars Technica que los desarrolladores de estas aplicaciones también han sido prohibidos.
Imagen: Dr. Web
Únase a nuestra comunidad de expertos en eventos Cube Club y Cube para expresar su apoyo a nuestra misión. Únase a la comunidad, que incluye Amazon Web Services, y pronto se convertirá en el CEO de Amazon.com, Andy Jassy, el fundador y CEO de Dell Technologies, Michael Dell, el CEO de Intel, Pat Gelsinger, y más celebridades y expertos.
Únete a nuestra comunidad
Celebraremos la segunda Exposición de Emprendimiento en la Nube el 16 de junio. Haga clic aquí para unirse al evento Startup Showcase gratuito y abierto.
Realmente queremos escuchar tu opinión. Gracias por tomarse el tiempo de leer este artículo. Esperamos verte en el evento y en el club CUBE.