Google Play eliminó 9 aplicaciones para Android con aproximadamente 6 millones de descargas, las cuales escondían troyanos (software malicioso) que eran utilizados para robar las credenciales de acceso y contraseñas de las redes sociales.

Este defecto fue identificado por la compañía de ciberseguridad Dr. Web y fue repostado a Google, la cual tomo la decisión de eliminarlas definitivamente de su tienda digital (Google Play).

 

Las aplicaciones escondían un archivo malicioso en diferentes tipos de plataformas como administradores de contraseñas, editores de fotos o app de horóscopos.

Las aplicaciones eliminadas fueron las siguientes: Processing Photo, App Lock Keep, Rubbish Cleaner, Horoscope Daily, Horoscope Pi, App Lock Manager, Lockit Master, Inwell Fitness y PIP Photo. La suma de descargas de todas eran 5,8 millones.

     

Dr Web advirtió que, aunque ya han sido eliminadas de Google Play, aún están disponibles en plataformas de terceros y agregadores de apps, sin embargo los usuarios deben estar alerta y evitar descargar estas aplicaciones de cualquier sitio.

Las aplicaciones afectadas contenían una variante del troyano Andorid.PWS:Facebook.15 que utiliza formatos de archivos y scripts de Java para robar información de los usuarios. En este caso se obtenían sus datos de acceso a Facebook.

Para apropiarse de los datos de acceso a la red social, las plataformas les pedían a los usuarios que se identificasen con sus cuentas de Facebook para obtener los privilegios de un usuario premiun o bien eliminar cualquier tipo de publicidad.

Un comunicado emitido por los investigadores de ciberseguridad menciona que las aplicaciones eran completamente funcionales, lo que se suponía que debilitaría la vigilancia de víctimas potenciales; con eso, para acceder a todas las funciones de las aplicaciones, y, supuestamente para deshabilitar los anuncios la publicidad en la aplicación, debían iniciar sesión de sus cuentas de Facebook, esta estrategia tenía la intención de animar a los propietarios de los dispositivos a realizar las acciones requeridas.

Si los usuarios hacían clic en el botón de inicio de sesión en la red social, veían la página estándar lo cual minoraba las sospechas, pero los troyanos utilizaban un mecanismo especial, después de recibir la configuración necesaria de los servidores al iniciar sesión, cargaban la página web legítima de Facebook en WebView.

Luego cargaban el JavaScript recibido del servidor C&C (mando y control) en el mismo WebView, este scripts se utilizaba directamente para secuestrar las credenciales de inicios de sesión. Después de eso, este Java utilizaba métodos relacionados a través de anotaciones JavascriptInterface, el usuario pasó el nombre y la contraseña robados a aplicaciones troyanas, luego se transfirieron los datos al servidor de los atacantes. Una vez que las victimas iniciaban sesión en su cuenta, los troyanos también robaban las cookies de la sesión de autorización actual. Esas cookies también se enviaron a los ciberdelincuentes, explicaron en el comunicado.

Como medida de precaución, los usuarios deben analizar el historial de las aplicaciones, los comentarios de otros y el número de descargas, además de evitar las plataformas que inviten a iniciar sesión en alguna red social o sitios credenciales.