Aplicaciones móviles falsas roban credenciales de Facebook y claves relacionadas con criptomonedas

Una investigación arrojó una serie de aplicaciones en Google Play diseñadas para realizar actividades maliciosas, como robar las credenciales de los usuarios e información confidencial, incluidas las claves privadas. Debido a la cantidad y popularidad de estas aplicaciones (algunas de ellas se han instalado más de 100.000 veces), Trend Micro investigó lo que realmente hacen […]

Una investigación arrojó una serie de aplicaciones en Google Play diseñadas para realizar actividades maliciosas, como robar las credenciales de los usuarios e información confidencial, incluidas las claves privadas.

Debido a la cantidad y popularidad de estas aplicaciones (algunas de ellas se han instalado más de 100.000 veces), Trend Micro investigó lo que realmente hacen estas aplicaciones mostrando algunos de los ejemplos más notables.

Variantes de la app Facestealer para robar contraseñas, disfrazadas de aplicaciones fitness, edición de fotos, entre otros.

El software espía Facestealer se documentó por primera vez en julio de 2021 en un informe de Dr. Web que detalla cómo robó las credenciales de Facebook de los usuarios a través de aplicaciones fraudulentas de Google Play.

Estas credenciales robadas podrían usarse para comprometer las cuentas de Facebook con fines maliciosos, como estafas de phishing, publicaciones falsas y bots publicitarios. Similar a Joker, otra pieza de malware móvil, Facestealer cambia su código con frecuencia, generando así muchas variantes. Desde su descubrimiento, el spyware ha asediado continuamente a Google Play.

”Durante nuestra investigación reciente sobre aplicaciones móviles maliciosas, encontramos más de 200 aplicaciones adicionales del software espía Facestealer en la base de datos del Servicio de reputación de aplicaciones móviles (MARS)”, señala Trend Micro.

Una de las aplicaciones que encontramos, llamada Daily Fitness OL, afirma ser una aplicación de fitness, completa con ejercicios y demostraciones en video. Pero al igual que la variante inicial, fue diseñado para robar las credenciales de Facebook de sus usuarios.

Cuando se inicia la aplicación, envía una solicitud a hxxps://sufen168[.]space/config para descargar su configuración cifrada. En el momento de nuestro análisis, la configuración devuelta era:

eXyJkIjowLCJleHQxIjoiNSw1LDAsMiwwIiwiZXh0MiI6IiIsImkiOjAsImlkIjoiMTE1NTYzNDk2MTkxMjE3MiIsImwiOjAsImxvZ2luX3BpY191cmxfc3dpdGNoIjowLCJsciI6IjcwIn0

Después del descifrado, la configuración real fue:

{“d”:0,”ext1″:”5,5,0,2,0″,”ext2″:””,”i”:0,”id”:”1155634961912172″,”l”:0, “login_pic_url_switch”:0,”lr”:”70″}

La “l” en la configuración es la bandera que se usa para controlar si aparece un aviso para pedirle al usuario que inicie sesión en Facebook. Una vez que el usuario inicia sesión en Facebook, la aplicación inicia un WebView (un navegador integrable) para cargar una URL, por ejemplo, hxxps://touch[.]facebook[.]com/home[.]php?sk=h_nor, de la configuración descargada. Luego, se inyecta un fragmento de código JavaScript en la página web cargada para robar las credenciales ingresadas por el usuario.

Después de que el usuario inicia sesión con éxito en una cuenta, la aplicación recopila la cookie. Luego, el software espía cifra toda la información de identificación personal (PII) y la envía al servidor remoto. La clave de cifrado y la dirección del servidor remoto se obtienen de la configuración descargada.

Otra aplicación falsa, llamada Enjoy Photo Editor, comparte muchos procedimientos similares con la aplicación Daily Fitness OL.

Los métodos principales para robar credenciales, en particular, son los mismos: recolectar credenciales mediante la inyección de código JavaScript y recopilar cookies después de que las víctimas inicien sesión con éxito en sus cuentas.

Pero esta aplicación se diferencia al trasladar la descarga de la configuración y la carga de las credenciales de la víctima al código nativo, al mismo tiempo que ofusca la aplicación para que sea más difícil de detectar por las soluciones de seguridad.

Mostramos capturas de pantalla de más variantes de Facestealer en las siguientes figuras. Las variantes de Facestealer que encontramos ya han sido eliminadas por Google de Play Store al momento de escribir este artículo.

Aplicaciones falsas de minería de criptomonedas recopilan claves

También encontramos más de 40 aplicaciones falsas de minería de criptomonedas que son variantes de aplicaciones similares que cubrimos en una entrada de blog anterior.

Estas aplicaciones están diseñadas para engañar a los usuarios para que compren servicios pagos o hagan clic en anuncios atrayéndolos con la perspectiva de ganancias falsas en criptomonedas.

Inicialmente, después de realizar pruebas en una de estas nuevas variantes, denominada “Cryptomining Farm Your Own Coin”, en nuestro dispositivo de prueba, no detectamos ningún anuncio ni solicitud de información confidencial o pago. Sin embargo, al hacer clic en el botón “Conectar billetera” en la aplicación, se nos solicitó que ingresáramos una clave privada (una firma digital utilizada con un algoritmo para cifrar y descifrar datos), lo cual fue suficiente señal de alerta que decidimos investigar.

Nuestra investigación sobre el archivo de manifiesto de la aplicación reveló que se desarrolló utilizando Kodular, una suite en línea gratuita para el desarrollo de aplicaciones móviles. De hecho, la mayoría de las aplicaciones falsas de minería de criptomonedas que analizamos anteriormente también se desarrollaron utilizando el mismo marco.

Revisa la investigación completa en el sitio de Trend Micro.