Pese a todo el esfuerzo hecho por Google durante 2017, las aplicaciones maliciosas siempre se las arreglan para escabullirse dentro de la Play Store.
Investigadores de dos empresas de seguridad descubrieron una nueva pieza de malware, conocido como GhostTeam, el cual está presente en al menos 56 aplicaciones. También está diseñado para robar credenciales de acceso a Facebook y mostrar anuncios pop-up a los usuarios.
Las empresas de seguridad cibernética, Trend Micro y Avast , fueron las que detectaron este malware que se disfraza de diversos servicios utilitarios como linterna, escáner de código QR, brújula, aplicaciones para mejorar el rendimiento, entretenimiento, estilo de vida y vídeo aplicaciones Downloader.
Como la mayoría de los malware, estas aplicaciones en sí mismas no contienen ningún código malicioso.
¿Cómo roba las credenciales de Facebook?
"La aplicación de descarga recoge información sobre el dispositivo como parámetros únicos de identificación de dispositivo, ubicación, idioma y visualización", informó Avast, que además añadió que la ubicación del dispositivo se obtiene a partir de la dirección IP.
Tan pronto como el usuario abre su aplicación de Facebook, el malware los lleva inmediatamente a verificar nuevamente su cuenta. Es allí cuando roba las credenciales.
En lugar de explotar las vulnerabilidades del sistema o de la aplicación, el malware utiliza un esquema de phishing clásico con el fin de hacer el trabajo. Estas aplicaciones falsas usan WebView y, luego de obtener el login y pasword del usuario, envían los datosa un servidor pirata que es controlado a distancia.
"Esto es debido a que los desarrolladores usan un navegador incorporado (WebView, WebChromeClient) en sus aplicaciones, en lugar de abrir la página web en el navegador del dispositivo", dijo Avast.
Investigadores de Trend Micro advierten que estas credenciales robadas de Facebook pueden ser reutilizados para difundir noticias falsas o para generar un software malicioso del tipo criptomoneda.