Un nuevo informe arroja algo de luz sobre una extensa campaña de aplicaciones falsas de Android que distribuye el software espía Facestealer.
Nueva campaña de aplicaciones falsas de Android ofrece spyware Facestealer
Documentado por primera vez en julio 2021, el malware está diseñado para robar inicios de sesión y contraseñas para cuentas de Facebook, y se propaga a través de aplicaciones fraudulentas en Google Play. Las credenciales robadas son un grave problema de seguridad, ya que pueden permitir que los piratas informáticos realicen una variedad de acciones maliciosas, incluyendo campañas de phishing, publicación falsa, y lanzando bots publicitarios.
También cabe destacar que Facestealer es similar a otra muestra de malware móvil., llamado bromista. Este tipo de malware generalmente se distribuye a través de aplicaciones de aspecto inocente., que terminan en miles de dispositivos. En el caso de Facestealer, las aplicaciones son más que 200, incluyendo fitness, edición de fotos, VPN, etc. Por ejemplo, tomemos la aplicación Daily Fitness OL.
Cómo se produce una infección con Daily Fitness OL?
Al lanzar, la aplicación envía una solicitud a hxxps://sufen168[.]space/config para descargar su configuración cifrada. En el momento del análisis de Trend Micro, la configuración devuelta fue la siguiente:
`eXyJkIjowLCJleHQxIjoiNSw1LDAsMiwwIiwiZXh0MiI6IiIsImkiOjAsImlkIjoiMTE1NTYzNDk2MTkxMjE3MiIsImwiOjAsImxvZ2luX3BpY191cmxfc3dpdGNoIjowLCJsciI6IjcwIn0`
Una vez descifrada, la configuración real se cambió a:
{“d”:0,”ext1″:”5,5,0,2,0″,”ext2″:””,”yo”:0,”carné de identidad”:”1155634961912172″,”l”:0,”login_pic_url_switch”:0,”lr”:”70″}
“La “l” en la configuración es la bandera que se usa para controlar si aparece un aviso para pedirle al usuario que inicie sesión en Facebook. Una vez que el usuario inicia sesión en Facebook, la aplicación lanza un WebView (un navegador integrable) para cargar una URL, por ejemplo, hxxps://toque[.]facebook[.]com/inicio[.]php?sk=h_nor, de la configuración descargada. Luego, se inyecta un fragmento de código JavaScript en la página web cargada para robar las credenciales ingresadas por el usuario.,” explicó el informe.
Una vez que el usuario inicia sesión en su cuenta, la aplicación recoge la cookie, el software espía cifra toda la información de identificación personal disponible, y lo envía de vuelta al servidor remoto.
Las otras aplicaciones fraudulentas comparten un patrón de comportamiento similar.
En una palabra, Las aplicaciones Facestealer se disfrazan hábilmente como herramientas simples para dispositivos Android, haciéndolos parecer útiles a los usuarios. Lo que es problemático es que, debido a la forma en que Facebook ejecuta su política de gestión de cookies, los investigadores temen que este tipo de apps sigan plagando la Play store.
Para evitar descargar una aplicación tan peligrosa, asegúrate de revisar sus reseñas. “Los usuarios también deben aplicar la debida diligencia a los desarrolladores y editores de estas aplicaciones., para que puedan evitar mejor las aplicaciones con sitios web dudosos o editores incompletos, especialmente dada la cantidad de alternativas en la tienda de aplicaciones,Trend Micro agregó.
Otros ejemplos de malware móvil dirigido a usuarios de Android incluyen el Troyano para Android SharkBot, la troyano GriftHorse, y el banquero de ERMAC.
Milena Dimitrova
Un escritor inspirado y administrador de contenido que ha estado con SensorsTechForum desde que comenzó el proyecto.. Un profesional con 10+ años de experiencia en la creación de contenido atractivo. Centrado en la privacidad de los usuarios y el desarrollo de malware, ella cree firmemente en un mundo donde la seguridad cibernética juega un papel central. Si el sentido común no tiene sentido, ella estará allí para tomar notas. Esas notas pueden convertirse más tarde en artículos! Siga Milena @Milenyim
Sígueme: