Clubhouse: aplicação falsa para Android rouba credenciais de acesso de mais de 450 aplicativos

ESET alerta que lista de serviços atacados inclui apps de troca de criptomoedas, financeiros e de compras, mídias sociais e plataformas de mensagens

Clubhouse: aplicação falsa para Android rouba credenciais de acesso de mais de 450 aplicativosESET, empresa líder em detecção proativa de ameaças, alerta que, usando a popularidade do Clubhouse, os cibercriminosos distribuem um aplicativo falso com malware que visa roubar informações de login dos usuários em uma ampla variedade de serviços.

Fingindo ser a versão Android do Clubhouse, o aplicativo de conteúdo em formato de áudio que só é acessado por convite e cuja versão existe apenas para iPhone, contém um pacote malicioso que é distribuído a partir de um site que tem a aparência legítima do Clubhouse. O Trojan tem a capacidade de roubar os detalhes de login das vítimas em pelo menos 458 serviços online.

A lista de serviços para os quais você pode roubar credenciais de acesso inclui aplicativos de troca de criptomoedas, aplicativos financeiros e de compras, bem como mídias sociais e plataformas de mensagens. Para começar, serviços como Twitter, WhatsApp, Facebook, Amazon, Netflix, Outlook, eBay, Coinbase, Plus500, Cash App, BBVA e Lloyds Bank estão presentes na lista.

“O site parece real. É uma cópia bem feita do site legítimo do Clubhouse. No entanto, assim que o usuário clicar em ‘Adquira no Google Play’, o aplicativo será baixado automaticamente para o dispositivo do usuário. Vamos ter em mente que sites legítimos sempre redirecionam o usuário para o Google Play em vez de baixar diretamente o Android Package Kit (APK)”, disse Lukas Stefanko, pesquisador da ESET que identificou o Trojan.

A ESET avisa que, antes mesmo de pressionar o botão para acessar o aplicativo, existem alguns indícios de que algo está errado. Por exemplo, a conexão não é feita de forma segura (HTTP em vez de HTTPS) ou o site usa o domínio de nível superior “.mobi” (TLD) em vez de “.com”. conforme usado pelo aplicativo legítimo. Outro sinal é que, embora o Clubhouse esteja planejando lançar a versão Android de seu aplicativo em breve, a plataforma ainda está disponível apenas para iPhones.

 

Clubhouse: aplicação falsa para Android rouba credenciais de acesso de mais de 450 aplicativos
Diferença no URL do site fraudulento (à esquerda) e do site legítimo (à direita)

Depois que a vítima cai na armadilha, baixa e instala o BlackRock, o Trojan tenta roubar suas credenciais usando um ataque de sobreposição. Em outras palavras, toda vez que um usuário inicia um aplicativo de um serviço listado em seu telefone, o malware cria uma tela que se sobrepõe ao aplicativo original e solicita que o usuário faça login. Mas, em vez de entrar no serviço, o usuário terá inadvertidamente entregue suas credenciais aos cibercriminosos.

Usar a autenticação de dois fatores (2FA) usando SMS para evitar que alguém ganhe acesso às contas não ajudaria necessariamente neste caso, pois o malware também pode interceptar mensagens de texto. O aplicativo malicioso também solicita que a vítima habilite os serviços de acessibilidade, permitindo efetivamente que os criminosos assumam o controle do dispositivo.

Stefanko aponta que o fato de o nome do aplicativo baixado ser “Instalar” em vez de “Clubhouse” deve funcionar como um alerta instantâneo. “Embora isso mostre que o criador do malware provavelmente foi um pouco preguiçoso em disfarçar adequadamente o aplicativo baixado, também pode significar que cópias ainda mais sofisticadas podem ser descobertas no futuro”, alertou.

O laboratório de pesquisa da ESET, compartilha as melhores práticas de segurança para dispositivos móveis:

  • Use apenas lojas oficiais para baixar aplicativos em seus dispositivos.
  • Tenha cuidado com os tipos de permissões concedidas aos aplicativos.
  • Mantenha seu dispositivo atualizado e, se possível, configure-o para instalar atualizações automaticamente.
  • Se possível, use tokens de senha descartáveis (OTP) baseados em hardware ou software em vez de SMS.
  • Antes de baixar um aplicativo, faça pesquisas sobre o desenvolvedor e as avaliações e comentários que outros usuários do aplicativo postaram.
  • Use uma solução de segurança móvel confiável.

Destaque da Semana

Banco Central autoriza pagamento de boletos via Pix

Wellton Máximo - Repórter da Agência Brasil Publicado em 12/12/2024...

Cidadania Já chega a Maringá com nova unidade no Catuaí

Empresa referência em cidadania europeia inaugura espaço no Catuaí...

Ibis Curitiba Batel e Ibis Styles Curitiba Centro Cívico recebem certificação Green Key

A líder mundial em hospitalidade, Accor, celebra mais duas certificações Green...

Dezembro é o mês dos casamentos: como o 13º salário contribui para essa tendência

Espírito festivo e apoio de plataformas como o iCasei...

Artigos Relacionados

Destaque do Editor

Mais artigos do autor