Los ciberdelincuentes astutos a menudo usan la ingeniería social para intentar engañar a las personas para que instalen malware o revelen información confidencial. Una campaña maliciosa descubierta por el proveedor de seguridad móvil Zimperium encontró aplicaciones maliciosas de Android que usaban tácticas de ingeniería social para obtener acceso a las cuentas de Facebook de las víctimas.

VER: Los mejores consejos de seguridad de Android (PDF gratuito) (República Tecnológica)

Inicialmente disponibles a través de Google Play y tiendas de terceros, las aplicaciones maliciosas han aparecido en al menos 140 países desde marzo de 2021 y se han cobrado más de 10.000 víctimas, dijo Zimperium en una publicación de blog el lunes. Después de que Zimperium notificó a Google sobre las aplicaciones en cuestión, la empresa las eliminó de Google Play. Sin embargo, aún se puede acceder a ellas en tiendas de terceros, lo que significa que representan una amenaza para los usuarios que descargan aplicaciones de fuentes no oficiales.

Las aplicaciones funcionan entregando un troyano de Android cuyo nombre en clave de Zimperium es FlyTrap. Los atacantes comienzan engañando a las personas para que descarguen las aplicaciones mediante el uso de gráficos de alta calidad y pantallas de inicio de sesión nítidas.

Una vez instaladas, las aplicaciones intentan atraer a los usuarios mostrando comentarios diseñados para despertar su interés. Estos incluyen un código de cupón de Netflix, un código de Google AdWords y una promoción que le pide que vote por su equipo de fútbol favorito para los partidos de la UEFA Euro 2020.

Los usuarios que interactúan con uno de los come-ons luego ven la página de inicio de sesión de Facebook y se les solicita que inicien sesión en su cuenta para obtener el código de cupón o votar. Por supuesto, no se lleva a cabo ningún código o votación real. En su lugar, aparece un mensaje que indica que el cupón ha caducado y ya no es válido.

Con acceso a la cuenta de Facebook de la víctima, el troyano entra en acción al abrir una URL legítima y usar un poco de inyección de JavaScript. Al inyectar un código JavaScript malicioso, el troyano puede acceder y extraer los detalles de la cuenta de Facebook, la ubicación, la dirección IP y las cookies del usuario. Como amenaza adicional, el servidor Command & Control operado por los atacantes contiene vulnerabilidades de seguridad que exponen todas las cookies de sesión robadas a cualquier persona en Internet.

"Esta es una combinación inteligente de un puñado de vulnerabilidades", dijo Setu Kulkarni, vicepresidente de estrategia del proveedor de seguridad de aplicaciones NTT Application Security. "La vulnerabilidad humana para hacer clic antes de pensar, una vulnerabilidad de software para permitir la inyección de JS, la abundancia de metadatos abiertos para acceder a la ubicación y, finalmente, la confianza implícita que se puede ganar mediante una asociación inteligente pero dudosa con Google, Netflix, etc. La parte preocupante es el efecto de red que este tipo de troyano puede generar al propagarse de un usuario a muchos.

Para ayudar a los usuarios de Android a protegerse contra estas aplicaciones maliciosas, Richard Melick, gerente de marketing de productos de seguridad de terminales de Zimperium, ofrece algunos consejos:

Evite instalar aplicaciones móviles de fuentes no oficiales. Aunque Google ha eliminado algunas de las aplicaciones maliciosas de su tienda Google Play, muchas todavía están disponibles a través de tiendas de terceros y redes sociales donde pueden propagarse rápidamente. Como tal, los usuarios deben evitar descargar aplicaciones o instalarlas desde fuentes no confiables. Es probable que las aplicaciones a las que se accede de esta manera no hayan pasado los análisis de seguridad y podrían contener código malicioso más fácilmente.

Esté atento a la actividad y las solicitudes de las aplicaciones móviles. Tenga en cuenta que si acepta la solicitud de una aplicación para conectarse a una de sus cuentas de redes sociales, la aplicación tendrá acceso completo y control sobre cierta información clave.

Eliminar todas las aplicaciones sospechosas. Si cree que una aplicación puede poner en riesgo sus datos, elimínela de su dispositivo de inmediato. Si agregó la aplicación a Facebook, siga las instrucciones de la empresa para eliminar la aplicación y sus datos asociados.

Nota del editor: este artículo ha sido actualizado con un comentario adicional.

iStock/Jirsak