Se identificó una falsa aplicación para Clubhouse que instala un malware capaz de robar credenciales de acceso de más de 450 aplicaciones. Se trata de una versión para Android de la red social basada en audio a la que sólo se accede por invitación y de la cual sólo hay una versión para iOS.
El paquete malicioso se distribuye desde un sitio web que tiene la apariencia del portal legítimo de Clubhouse, según advierten desde la empresa de ciberseguridad Eset. El malware es un troyano que tiene la capacidad de robar los datos de inicio de sesión de las víctimas para al menos de 458 servicios en línea.
La lista de servicios para los cuales puede robar las credenciales de acceso incluye aplicaciones de exchange de criptomonedas, apps financieras y para realizar compras, así como de redes sociales y plataformas de mensajería. Entre ellos se encuentran plataformas como Twitter, WhatsApp, Facebook, Amazon, Netflix, Outlook, eBay, Coinbase, Plus500 y Cash App, entre otras.
“El sitio web parece el auténtico. Es una copia bien lograda del sitio web legítimo de Clubhouse. Sin embargo, una vez que el usuario hace clic en ‘Obtenerla en Google Play’, la aplicación se descargará automáticamente en el dispositivo del usuario. Tengamos presente que los sitios web legítimos siempre redirigen al usuario a Google Play en lugar de descargar directamente el Android Package Kit (APK)”, mencionó Lukas Stefanko, investigador de Eset que identificó el troyano.
Incluso antes de presionar el botón para acceder a la aplicación se identifican algunos indicios de que algo está fuera de lugar, explicaron en el comunicado difundido por los investigadores. Por ejemplo, la conexión no se realiza de manera segura (HTTP en lugar de HTTPS) o el sitio utiliza el dominio de nivel superior “.mobi” (TLD), en lugar de “.com”. tal como utiliza la aplicación legítima. Otra punto para tener en cuenta es que, aunque Clubhouse está planeando lanzar pronto la versión para Android de su aplicación, la plataforma sigue estando disponible solo para iPhones.
Una vez que la víctima cae en la trampa y descarga e instala la aplicación, el troyano intenta robar sus credenciales mediante un ataque de superposición, conocido en inglés como overlay attack. Es decir que cada vez que un usuario inicia en su móvil una app de uno de los más de 450 servicios afectados, el malware creará una pantalla que se superpondrá a la de la app original y solicitará al usuario que inicie sesión. Pero en lugar de iniciar sesión en el servicio, el usuario habrá entregado sin darse cuenta sus credenciales a los ciberdelincuentes.
La utilización del doble factor de autenticación (2FA) mediante SMS para evitar que alguien logre acceder a las cuentas no necesariamente ayudaría en este caso, ya que el malware también puede interceptar mensajes de texto. La aplicación maliciosa también solicita a la víctima que habilite los servicios de accesibilidad, permitiendo que los delincuentes tomen el control del dispositivo.
Stefanko señaló que el hecho de que el nombre de la aplicación descargada sea “Install” en lugar de “Clubhouse” debería funcionar como una señal de alerta instantánea. “Si bien esto demuestra que el creador de malware probablemente fue un tanto perezoso a la hora de camuflar correctamente la aplicación que se descarga, también podría significar que es posible descubrir copias aún más sofisticados en el futuro”, advirtió.
Medidas de precaución a la hora de instalar aplicaciones
-Utilizar solo las tiendas oficiales para descargar aplicaciones en los dispositivos.
-Tener cuidado con los tipos de permisos que se otorga a las aplicaciones. Mirar bien la información antes de descargar.
-Mantener el dispositivo con el sistema operativo actualizado.
-Si es posible, utilizar tokens de contraseñas de un solo uso basados en hardware o software en lugar de SMS.
-Antes de descargar una aplicación, investigar un poco sobre el desarrollador y las calificaciones y reseñas que han puesto otros usuarios de la aplicación.
-Utilizar una solución de seguridad móvil de confianza.
