Android: App falsa roba credenciales de casi 500 servicios

La versión falsa de la aplicación »Clubhouse» propaga el malware BlackRock, que roba las credenciales de 458 servicios, incluidos Twitter, WhatsApp, Facebook y Amazon.

Los investigadores advierten sobre una versión falsa de la popular aplicación de chat de audio Clubhouse, que roba las credenciales de inicio de sesión de más de 450 aplicaciones.

Clubhouse ha irrumpido en la escena de las redes sociales en los últimos meses, ganando popularidad a través de sus salas de chat de audio donde los participantes pueden discutir cualquier tema, desde política hasta relaciones. A pesar de ser solo por invitación y solo estar disponible durante un año, la aplicación se está acercando a 13 millones de descargas . Sin embargo, a partir de ahora, la aplicación solo está disponible en el mercado de aplicaciones móviles de la App Store de Apple; aún no hay una versión de Android (aunque hay planes para desarrollar una).

Los ciberdelincuentes están atacando a los usuarios de Android que buscan descargar Clubhouse creando su propia versión falsa de Android de la aplicación. Para agregar legitimidad a la estafa, la aplicación falsa se entrega desde un sitio web que pretende ser el sitio web real de Clubhouse, que «parece el verdadero negocio», dijo Lukas Stefanko, investigador de ESET.

«Para ser franco, es una copia bien ejecutada del sitio web legítimo de Clubhouse», dijo Stefanko el viernes . “Sin embargo, una vez que el usuario hace clic en ‘Obtener en Google Play’, la aplicación se descargará automáticamente en el dispositivo del usuario. Por el contrario, los sitios web legítimos siempre redirigen al usuario a Google Play, en lugar de descargar directamente un paquete de Android o APK para abreviar «.

El malware de Android: BlackRock

Si la víctima debe hacer clic en el botón que pretende descargar la aplicación, se instala un troyano llamado BlackRock en su sistema. Este malware, descubierto en julio , es una variante del troyano LokiBot que ataca no solo las aplicaciones financieras y bancarias, sino también una lista masiva de aplicaciones de marca conocidas y de uso común en dispositivos Android.

“El troyano, apodado“ BlackRock ”por ThreatFabric y detectado por los productos de ESET como Android / TrojanDropper.Agent.HLR, puede robar los datos de inicio de sesión de las víctimas para no menos de 458 servicios en línea”, dijeron los investigadores.

La lista específica de credenciales de aplicaciones incluye aplicaciones financieras y de compras conocidas, intercambios de criptomonedas y aplicaciones de mensajería y redes sociales, como Twitter, WhatsApp, Facebook, Amazon, Netflix, Outlook, eBay, Coinbase, Plus500, Cash App, BBVA y Lloyds Bank.

El troyano desliza las credenciales mediante un ataque de superposición, que es un tipo de ataque común para las aplicaciones maliciosas de Android . En este tipo de ataque, el malware creará una superposición de robo de datos de la aplicación a la que la víctima está navegando y solicitará al usuario que inicie sesión. Sin embargo, mientras la víctima cree que está ingresando, sin saberlo, está entregando su credenciales a los ciberdelincuentes.