El malware que roba datos de Facebook ha sido detectado en la Google Play Store

Los usuarios de Android están en peligro de nuevo: ciertas descargas en la Google Play difunden malware que roba contraseñas de Facebook

Una nueva variante de virus Android ha sido detectada en la Google Play Store. Ésta usa técnicas de ingeniería social para engañar a los usuarios a descargar aplicaciones maliciosas. El malware apunta a usuarios ingleses y vietnamitas y se centra en robar los detalles de autentificación de Facebook.

La firma de seguridad Avast ha detectado múltiples descargadores que pretenden ser apps de entretenimiento o de forma de vida, como grabadores de voz o juegos de ajedrez. Una vez instaladas, estas aplicaciones desencadenan la instalación de otras aplicaciones maliciosas que ejecutan actividades peligrosas.

Por fortuna, estas aplicaciones han sido eliminadas de la Google Play y las cuentas de los desarrolladores fueron bloqueadas. No obstante, se desconoce cuánta gente puede haber sufrido este malware de Android. Los investigadores sospechan que este malware Android se ha originado en Vietnam, ya que las aplicaciones maliciosas usan el mismo nombre que aplicaciones populares de esta región.

Las aplicaciones maliciosas piden derechos de administrador

Las aplicaciones maliciosas han logrado sobrepasar la seguridad de Google debido a que los descargadores que fueron subidos a la tienda no poseían funciones maliciosas. Estaban diseñados para descargar varios componentes maliciosos y llevar a cabo actividades ilegales en cuanto se instalaban en un smartphone Android.

La actividad más sospechosa es que las aplicaciones maliciosas requieren derechos o permisos de administrador. Sin embargo, si el usuario no se los concede, la app comienza a mostrar falsos errores de servicio de Google Play. Los ladrones han desarrollado ventanas de diálogo aparentemente legítimas que se envían cuando el usuario intenta abrir cualquier otra aplicación. El mensaje dice:

Service error!
Google Play services has been
disabled by the system or a
third party.
Please enable to avoid unwanted
bugs!

Al hacer click en el botón de «Activar/Activate» en el pop-up, al usuario se le piden «Activar administrador en el dispositivo», lo que significa que le vas a dar permisos a una app maliciosas para obtener permisos completos del dispositivo. Las alertas de bloqueo que previenen acceder a la aplicación necesaria son bastante molestas. Por ello, no hay dudas de que antes o después el usuario acabará concediéndole al malware lo que desea.

El malware de Android roba detalles de localización y credenciales de Facebook

Cuando un virus Android obtiene acceso al dispositivo afectado, informa al servidor de comando y control del malware sobre su éxito. Luego, comprueba y envía al dispositivo su ID, localización (dirección IP), idioma, operador móvil y muestra los parámetros.

Adicionalmente, las apps maliciosas pueden ejecutar actividades de «fraude-click». Las investigaciones de Avast dicen que las apps incluyen un par de plataformas publicitarias. Sin embargo, no solo pueden mostrar anuncios o vídeos, sino también intentar engañar al usuario para que haga click en ellas con o sin su consentimiento.

No obstante, la tarea más importante es la de robar las credenciales de Facebook. El malware continúa con una notificación del servicio de Google Play que alerta sobre problemas en la cuenta de Facebook del usuario y le insta a iniciar sesión de nuevo. Con esto, el usuario concede a los criminales sus detalles de autentificación sin siquiera darse cuenta de ello.

Los ladrones no usan una página falsa de Facebook. Las víctimas normalmente ven una página web real de Facebook. Sin embargo, la víctima accede a la página a través de una app maliciosa que puede inyectar un código JavaScript malicioso en la página legítima. Luego, cuando el usuario inserta sus credenciales, la app peligrosa puede fácilmente reunir los datos.

Las cuentas de Facebook pueden ser vendidas y usadas con propósitos publicitarios

¿Qué ocurre cuando los criminales acceden a tu cuenta? Pueden añadir o confirmar amistades, comentar, dar like o compartir contenido así como ejecutar otras actividades. El punto de esta actividad es que estas cuentas pueden ser vendidas a negocios que quieran conocer más sobre los intereses de los usuarios o incluso incrementar sus ventas.

Las cuentas comprometidas de gente real son valiosas en el mercado, ya que no serán marcadas como falsas y no serán eliminadas de la red social. Por ello, si has sido alcanzado por este malware Android, deberías cambiar inmediatamente todas tus contraseñas (no solo las de Facebook) en cuanto limpies el malware de tu smartphone.