Connect with us

Tecnología

07/04/2021 12:59 pm ET

Falsa aplicación de Clubhouse roba claves de acceso a servicios en línea

Puede apropiarse de los usuarios y contraseñas de 458 servicios en línea

ESET Latinoamérica, compañía líder en detección proactiva de amenazas, advirtió que en un intento de aprovechar la popularidad de Clubhouse, cibercriminales distribuyen una aplicación falsa con un malware cuyo objetivo es robar la información de inicio de sesión de los usuarios para servicios en línea. 

Con una simulación de versión para Android de Clubhouse, la app de contenidos en formato audio a la que solo se accede por invitación y cuya versión existe solo para iPhone, el paquete malicioso es distribuido desde un sitio web que tiene la apariencia de la página web legítima de Clubhouse. El troyano tiene la capacidad de robar los datos de inicio de sesión de al menos de 458 servicios en línea.

Lee también: Netflix quiere evitar que usuarios compartan sus contraseñas

La lista de servicios para los cuales puede robar las credenciales de acceso incluye aplicaciones de exchange de criptomonedas, apps financieras y para realizar compras, así como de redes sociales y plataformas de mensajería. Para empezar, servicios como Twitter, WhatsApp, Facebook, Amazon, Netflix, Outlook, eBay, Coinbase, Plus500, Cash App, BBVA y Lloyds Bank.

“El sitio web parece el auténtico. Es una copia bien lograda del sitio web legítimo de Clubhouse. Sin embargo, una vez que el usuario hace clic en ‘Obtenerla en Google Play’, la aplicación se descargará automáticamente en el dispositivo del usuario. Tengamos presente que los sitios web legítimos siempre redirigen al usuario a Google Play en lugar de descargar directamente el Android Package Kit (APK)”, mencionó Lukas Stefanko, investigador de ESET que identificó el troyano.

ESET alertó que incluso antes de presionar el botón para acceder a la aplicación se identifican algunos indicios de que algo está fuera de lugar. Por ejemplo, la conexión no se realiza de manera segura (HTTP en lugar de HTTPS) o el sitio utiliza el dominio de nivel superior “.mobi” (TLD), en lugar de “.com”. tal como utiliza la aplicación legítima. Otra señal es que, aunque Clubhouse tiene planificado lanzar pronto la versión para Android de su aplicación, la plataforma solo está disponible para iPhone. 

Graphical user interface, text, application

Description automatically generated
URL del sitio web fraudulento
Graphical user interface, text, application

Description automatically generated
URL del sitio web legítimo

Una vez que la víctima descarga e instala BlackRock, el troyano intenta robar sus credenciales mediante un ataque de superposición, conocido en inglés como overlay attack. Cada vez que un usuario inicia en su teléfono una aplicación de un servicio que esté en la lista, el malware creará una pantalla que se superpondrá a la de la app original y solicitará al usuario que inicie sesión. Pero en lugar de iniciar sesión en el servicio, el usuario habrá entregado sin darse cuenta sus credenciales a los ciberdelincuentes. 

La utilización del doble factor de autenticación (2FA), mediante SMS, para evitar que alguien logre acceder a las cuentas no necesariamente ayudaría en este caso, ya que el malware también puede interceptar mensajes de texto. La aplicación maliciosa también solicita a la víctima que habilite los servicios de accesibilidad, permitiendo efectivamente que los delincuentes tomen el control del dispositivo. 

Stefanko señala que el hecho de que el nombre de la aplicación descargada sea “Install” en lugar de “Clubhouse” debería funcionar como una señal de alerta instantánea. “Si bien esto demuestra que el creador de malware probablemente fue un tanto perezoso a la hora de camuflar correctamente la aplicación que se descarga, también podría significar que es posible descubrir copias aún más sofisticados en el futuro”, advirtió. 

Graphical user interface, application

Description automatically generated
Graphical user interface, text, application

Description automatically generated
Proceso de instalación

Desde el Laboratorio de Investigación de ESET, comparten las mejores prácticas de seguridad en dispositivos móviles: 

  • Mantener su dispositivo actualizado, de ser posible configurarlo para instalar actualizaciones de manera automática. 
  • Si es posible, utilizar tokens de contraseñas de un solo uso (OTP) basados en hardware o software en lugar de SMS. 
  • Antes de descargar una aplicación, investigar un poco sobre el desarrollador y las calificaciones y reseñas que han puesto otros usuarios de la aplicación. 
  • Utilizar una solución de seguridad móvil de confianza. 
Advertisement
Advertisement