ClubHouse: Falsa aplicación para Android roba credenciales
ESET Latinoamérica advierte que en un intento de aprovechar la popularidad de Clubhouse, cibercriminales distribuyen una aplicación falsa con un malware cuyo objetivo es robar la información de inicio de sesión de los usuarios para una gran variedad de servicios en línea.
Simulando ser la versión para Android, de Clubhouse, la app de contenidos en formato audio a la que solo se accede por invitación y cuya versión existe solo para iPhone, el paquete malicioso es distribuido desde un sitio web que tiene la apariencia del sitio legítimo de Clubhouse. El troyano, tiene la capacidad de robar los datos de inicio de sesión de las víctimas para al menos de 458 servicios en línea.
La lista de servicios para los cuales puede robar las credenciales de acceso incluye aplicaciones de exchange de criptomonedas, apps financieras y para realizar compras, así como de redes sociales y plataformas de mensajería. Para empezar, servicios como Twitter, WhatsApp, Facebook, Amazon, Netflix, Outlook, eBay, Coinbase, Plus500, Cash App, BBVA y Lloyds Bank están presentes en la lista.
ESET advierte que incluso antes de presionar el botón para acceder a la aplicación se identifican algunos indicios de que algo está fuera de lugar. Por ejemplo, la conexión no se realiza de manera segura (HTTP en lugar de HTTPS) o el sitio utiliza el dominio de nivel superior .mobi (TLD), en lugar de .com. tal como utiliza la aplicación legítima. Otra señal es que, aunque Clubhouse está planeando lanzar pronto la versión para Android de su aplicación, la plataforma sigue estando disponible solo para iPhones.
Una vez que la víctima cae en la trampa y descarga e instala BlackRock, el troyano intenta robar sus credenciales mediante un ataque de superposición, conocido en inglés como overlay attack.
En otras palabras, cada vez que un usuario inicia en su teléfono una aplicación de un servicio que esté en la lista, el malware creará una pantalla que se superpondrá a la de la app original y solicitará al usuario que inicie sesión. Pero en lugar de iniciar sesión en el servicio, el usuario habrá entregado sin darse cuenta sus credenciales a los ciberdelincuentes.
La utilización del doble factor de autenticación (2FA) mediante SMS para evitar que alguien logre acceder a las cuentas no necesariamente ayudaría en este caso, ya que el malware puede interceptar mensajes de texto. La aplicación también solicita a la víctima que habilite los servicios de accesibilidad, permitiendo que los delincuentes tomen el control del dispositivo.