Está usted visitando una publicación en la hemeroteca de CSIRT-CV.
Para acceder al portal y contenido actual, visite https://www.csirtcv.gva.es
24/04/2014
Falsa aplicació de Facebook disfressada de verificació de seguretat és capaç d'espiar mòbils Android i capturar dades bancàries
En els últims dies, ESET Espanya ha descobert una nova falsa aplicació de Facebook que s’està distribuint a través de la popular xarxa social i que simula ser un procés de verificació de seguretat. No obstant això, en realitat, intenta aconseguir el número de telèfon dels usuaris amb l’únic propòsit d’enganyar-los perquè instal·len el troià per a Android iBanking, detectat per ESET com Spy.Agent.AF, i atacar així a dispositius Android, espiar-los i inclús capturar dades bancàries.
El mecanisme de funcionament de la falsa aplicació és molt senzill i està dissenyat per a enganyar a qualsevol usuari de Facebook, ja que simula la verificació de comptes en dos passos ja implantada per altres servicis, com Twitter o Google. Així, durant la navegació, apareix una pantalla que simula ser el propi Facebook amb un missatge en què s’informa l’usuari que a causa del gran nombre d’intents d’aconseguir un accés no autoritzat al seu compte, l’administració de la xarxa social ha introduït un nou sistema de protecció, gratuït i que garantix un accés segur.
Per a això, l’usuari ha d’introduir el seu número de telèfon i el seu sistema operatiu i descarregar el programa que rebrà via SMS.
Els hackers utilitzen el conegut troià bancari anomenat Win32/Qadars per a mostrar este missatge en Facebook. I és possible gràcies a què el programari maliciós desenrotllat per a Windows s’utilitza per a injectar el missatge en el navegador de l’usuari via JavaScript, de manera que sembla que el propi Facebook és el que mostra l’avís.
Si l’usuari introduïx el seu número de telèfon, se li mostra el següent missatge.
L’usuari rep llavors un missatge SMS amb l’enllaç per a la descàrrega de l’aplicació, que no està allotjada en Google Play sinó en un altre lloc de tercers, per la qual cosa l’usuari ha de canviar la configuració d’Android per a permetre la seua instal·lació.
Una vegada descarregat el programari i instal·lat, els ciberdelinqüents són capaços d’escoltar les telefonades realitzades des del terminal Android, interceptar els missatges SMS, sostraure dades emmagatzemades en el telèfon, incloent-hi dades i vídeo, capturar imatges de pantalla i inclús gravar i escoltar conversacions privades que l’usuari puga tindre junt amb el telèfon o les coordenades GPS del telèfon.
Atés que molts sistemes de banca en línia utilitzen els missatges SMS per a la verificació de comptes i l’enviament de qualsevol tipus de coordenades, és possible que en poder interceptar este tipus de missatges, pogueren tindre accés a la informació bancària de l’usuari.
La recomanació d’ESET Espanya és no instal·lar cap aplicació que estiga allotjada en llocs de tercers fora dels oficials, en este cas, Google Play. I davant del dubte sobre alguna nova funcionalitat implantada per Facebook o per qualsevol altra xarxa social, es recomana buscar primer informació i referències en la xarxa abans de procedir a introduir dades personals o a instal·lar-la.
Més informació amb captures per a identificar l’amenaça en este article del blog del laboratori d’ESET.