A menudo se nos dice que tengamos cuidado cuando se trata de descargar aplicaciones desde fuera de Play Store, ya que el mercado tiene una buena cantidad de aplicaciones maliciosas. Se unen a la lista nueve aplicaciones que Google acaba de eliminar por robar los datos de inicio de sesión de Facebook de los usuarios.
Lo preocupante es que se descargaron más de 5,8 millones de veces.
Dr. Web (a través de Ars Technica ) informa que, al igual que muchas aplicaciones maliciosas, estas realizaron sus funciones anunciadas, como edición de fotos, ejercicio y entrenamiento, horóscopos y eliminación de archivos basura de un teléfono. También ofrecieron una forma de deshabilitar sus anuncios en la aplicación iniciando sesión en la cuenta de Facebook de un usuario.
Los troyanos cargaron páginas de inicio de sesión de Facebook reales con campos para nombres de usuario y contraseñas, pero también cargaron JavaScript recibido del servidor C&C en el mismo WebView. Este script se utilizó para secuestrar las credenciales de inicio de sesión, que luego se pasaron a través de la aplicación y al servidor de comandos. Las aplicaciones también podrían robar cookies de la sesión de autorización.
Se identificaron cinco variantes de malware ocultas dentro de las aplicaciones, las cuales usaban el mismo código JavaScript y formatos de archivo de configuración para robar datos de usuario.
La mayoría de las 5,8 millones de descargas fueron de una aplicación llamada PIP Photo. A esto le siguió Processing Photo, que tuvo más de 500.000 descargas. Rubbish Cleaner, Inwell Fitness y Horoscope Daily tuvieron más de 100,000 descargas.
Un portavoz de Google dice que las aplicaciones han sido eliminadas de la tienda y que a los desarrolladores se les ha prohibido enviar nuevas aplicaciones, aunque siempre pueden enviarlas con un nombre diferente.
En 2019, se descubrió malware en una aplicación de Google Play con más de 100 millones de descargas. También hemos visto varios otros ejemplos de aplicaciones maliciosas que se infiltran en la tienda.