Un grupo de expertos en seguridad informática han descubierto que más de 50 aplicaciones Android presentes en la Google Play Store incluyen código malicioso que los hackers podrían utilizar para robar contraseñas de Facebook.
Llamado GhostTeam por la empresa de seguridad informática Trend Micro debido al nombre que aparece en el código, este malware es una forma de adware que afectó a usuarios de La India, Indonesia, Brasil, Vietnam y Filipinas.
Los desarrolladores del malware lo diseñaron para mostrar publicidad a través de ventanas emergentes o pop-up en la pantalla de inicio de los dispositivos afectados. En este sentido, Kevin Sun, analista de amenazas móviles de la empresa, reveló a través de una publicación en el blog de Trend Micro:
Las aplicaciones afectadas se hacen pasar por utilidades (flashlight, escáner de código QR, brújula) y aplicaciones para aumentar el rendimiento de los dispositivos (transferencia de archivos, limpieza) y, lo que es más notable, descargadores de vídeos para redes sociales.
La publicación revela que muchas de las aplicaciones se encontraban en la tienda de aplicaciones desde abril de 2017. Después de ser descubierto e informado a Google, el gigante tecnológico tomó medidas para eliminarlos y proteger mejor a sus usuarios. En total, fueron 53 aplicaciones las que se vieron comprometidas, pero no está claro cuántas veces se han descargado.
Trend Micro afirmó que, tras la descarga, el malware se hace pasar por la aplicación “Google Play Services”. De esta forma, cuando la víctima abre Google Play o Facebook, muestra una alerta instándoles a instalar la aplicación y a concederle permisos de administrador. En este sentido, Sun explica:
Una vez que el usuario acceda la aplicación de Facebook, un diálogo le pedirá que verifique la cuenta. El proceso de verificación se desarrollará como un procedimiento de inicio de sesión típico, sin embargo, tras este inicio se ejcutará una WebView, responsable de renderizar los sitios web en apps de Android.
De esta manera, el malware incluido en el cliente WebView robará el correo electrónico y la contraseña para iniciar sesión en Facebook, y posteriormente lo enviará al servidor de comando y control.
Un portavoz de Facebook afirmó que la compañía está bloqueando la distribución de estas aplicaciones a través de sistemas que le permiten detectar las cuentas y las contraseñas comprometidas.
Según Trend Micro, las contraseñas robadas todavía no se han utilizado en un sistema de piratería informática, asegurando además que las credenciales podrían estar siendo vendidas en el mercado de la Dark Web. La empresa aconseja a los usuarios de Android que se aseguren de tener instalados los parches de seguridad más recientes y que comprueben siempre las opiniones de otros usuarios sobre las aplicaciones.