Una nueva cepa de malware de Android puede dañar las credenciales de usuario de Facebook y luego iniciar sesión en las cuentas para obtener los detalles de la cuenta, e incluso buscar y recopilar resultados utilizando la funcionalidad de búsqueda de la aplicación de Facebook. Con el nombre de Fakeapp, esta nueva cepa de malware se detectó a principios de este mes por investigadores de Symantec. Symantec dice que la aplicación se distribuye actualmente dentro de aplicaciones maliciosas disponibles para usuarios de habla inglesa en tiendas de aplicaciones de terceros.
A pesar de dirigirse a la audiencia de habla inglesa, los investigadores de Symantec dicen que la mayoría de las víctimas son de la región de Asia y el Pacífico, lo que sugiere que las tiendas de aplicaciones de terceros solo tienen una audiencia local asiática. La aplicación utiliza una pantalla de inicio de sesión falsa para hacer phishing de las credenciales de Facebook
Las aplicaciones infectadas con el malware Fakeapp desaparecen inmediatamente de la pantalla de inicio del teléfono, pero iniciarán un servicio que se ejecutará en segundo plano. Este servicio es el responsable de iniciar una interfaz de usuario de inicio de sesión de Facebook falsificada para robar credenciales de usuario. Fakeapp muestra periódicamente esta pantalla de inicio de sesión (en la foto de arriba) hasta que los usuarios ingresen sus credenciales de Facebook. Aquí es donde Fakeapp es diferente de todos los troyanos que roban información de Android. Además de enviar las credenciales de Facebook recopiladas al servidor del atacante, el malware también usa estas credenciales de inmediato en el dispositivo de la víctima.
Fakeapp inicia sesión de inmediato en cuentas comprometidas
Fakeapp inicia una ventana de WebView (WebView es una aplicación de navegador móvil simplificada) y hace que esta ventana sea casi completamente transparente con un valor de ventana de transparencia alfa de “0.01f”, cerca de 0. A continuación, carga la página de inicio de sesión de Facebook y accede a la cuenta del usuario. Si bien Symantec no explicó por qué sucede esto, creemos que los atacantes están tratando de evitar las medidas de seguridad de Facebook que advierten a los usuarios cuando alguien intenta acceder a una cuenta desde una nueva dirección IP. Al iniciar sesión desde el mismo teléfono, el atacante está usando la IP normal de la víctima.
Una vez en una cuenta, el malware no parece hacer nada intrusivo en comparación con otras cepas de malware que se sabe que acceden al contenido y el correo no deseado. En cambio, Fakeapp solo recopila los detalles de la cuenta del usuario, como información sobre educación, trabajo, contactos, biografía, familia, relaciones, eventos, grupos, me gusta, publicaciones, páginas, etc.
“La funcionalidad que rastrea la página de Facebook tiene un sorprendente nivel de sofisticación”, dicen Martin Zhang y Shaun Aimoto, los dos investigadores de Symantec que analizaron Fakeapp. “El rastreador tiene la capacidad de utilizar la funcionalidad de búsqueda en Facebook y recopilar los resultados. Además, para recolectar información que se muestra utilizando técnicas web dinámicas, el rastreador desplazará la página y extraerá el contenido a través de llamadas Ajax”.
Tal comportamiento nunca antes se había observado en el malware de Android. También es muy extraño que el malware de Android no realice ninguna operación de hacer dinero. Esto puede sugerir que esta aplicación podría ser spyware, desarrollada para construir una base de datos de usuarios con el fin de identificar posiblemente a personas de alto interés para el atacante.