Desinstale estas aplicaciones maliciosas de Android que robaron contraseñas de Facebook

Ilustración para el artículo titulado Desinstalar estas aplicaciones maliciosas de Android que robaron contraseñas de Facebook

Foto: sitthiphong (Shutterstock)

Los investigadores de Dr. Web han encontrado nueve aplicaciones con más de 5,8 millones de descargas combinadas que robaban sigilosamente las contraseñas de Facebook de los usuarios utilizando una página de inicio de sesión de Facebook genuina. Al momento de escribir, Google prohibió al desarrollador y eliminó estas nueve aplicaciones de Play Store, pero si ha descargado alguna de ellas, es hora de cambiar sus contraseñas.

¿Cómo robaron los datos las aplicaciones?

De acuerdo con la investigadores del Dr. Web, el desarrollador, chikumburahamilton, creó aplicaciones completamente funcionales para edición de fotos, ejercicio, horóscopos y limpieza de basura (entre otros). Después de un momento, estas aplicaciones solicitarían a los usuarios que inicien sesión con Facebook para desbloquear la funcionalidad completa de la aplicación.

Cuando los usuarios hicieran eso, la aplicación activó su propio servidor C&C (un servidor de comando y control controlado por el desarrollador que se usa para copiar y almacenar datos de una página web). Después de recibir la configuración del servidor C&C, la aplicación cargó y luego cargó la página de inicio de sesión legítima de Facebook.

Luego, la aplicación cargó el JavaScript recibido del servidor C&C en la página de inicio de sesión de Facebook (el código JavaScript es versátil y se puede insertar en cualquier momento, incluso cuando un usuario simplemente toca un campo de texto). Este código Javascript se utilizó para copiar el nombre de usuario y la contraseña.

Luego, JavaScript pasó los datos copiados a la aplicación, que a su vez los pasó al servidor C&C de la aplicación, donde se guardaron. Una vez que el usuario inició sesión en la aplicación, la aplicación también robó cookies de la sesión autorizada actual, que a su vez se enviaron a los ciberdelincuentes.

En este caso, las aplicaciones solo usaron la página de inicio de sesión genuina de Facebook. Pero debido a la forma en que funcionan los servidores JavaScript y C&C, podrían haberlo hecho fácilmente con cualquier servicio que requiera que inicie sesión.

¿Qué puedes hacer al respecto?

Lo primero que debe hacer es verificar si estaba ejecutando una de estas nueve aplicaciones:

  1. Foto PIP
  2. Procesando foto
  3. Limpiador de basura
  4. Inwell Fitness
  5. Horóscopo Diario
  6. App Lock Keep
  7. Maestro de Lockit
  8. Horóscopo Pi
  9. Administrador de bloqueo de aplicaciones

Si tiene alguna de estas aplicaciones instalada, el primer paso es desinstalar la aplicación.

Luego, si usó el inicio de sesión de Facebook con la aplicación, debe restablezca su contraseña inmediatamente.

A continuación, mantente alerta. Utilice una aplicación antivirus confiable como Malwarebytes para detectar aplicaciones con código malicioso. Si es posible, evite conectar servicios de terceros como Facebook con aplicaciones aleatorias descargadas de Play Store. Debido a la forma en que funciona Play Store, es trivialmente fácil para los desarrolladores volver a ingresar y volver a enviar aplicaciones incluso después de que se eliminen (una licencia de desarrollador solo cuesta $ 25).

Por último, enciende Autenticación de dos factores para cualquier sitio que lo permita y vincularlo con un administrador de contraseñas. Esto le ayudará a generar y almacenar contraseñas largas de forma segura. E incluso si la filtración de un sitio web revela su contraseña, la autenticación de dos factores lo protegerá de los piratas informáticos.

[Ars Technica]

Artículo Relacionado:  Cómo hacer una hamburguesa de pavo que realmente sepa bien
A %d blogueros les gusta esto: