El troyano Facestealer que roba contraseñas de Facebook se infiltra en Google Play e infecta 100,000 dispositivos Android

El troyano llamado Facestealer roba las credenciales de Facebook y a logrado infectar a un total de 100,000 usuarios de Android. El troyano se introduce en los dispositivos de los usuarios desprevenidos después de descargar la aplicación Craftsart Cartoon Photo Tools para luego establecer conexión con su servidor en Rusia.

Facestealer está oculto en una aplicación de dibujos animados llamada Craftsart Cartoon Photo Tools, que permite a los usuarios cargar una imagen y luego convertirla en una imagen de dibujos animados. Este tipo de aplicaciones no son inusuales y son bastante populares, razón por la cual el troyano pudo infectar tantos dispositivos Android.

El troyano Facestealer infecta un total de 100,000 dispositivos Android

Michal Rajcan, investigador de ThreatLabs, tuiteó la semana pasada sobre la amenaza. En su tweet proporcionó el nombre del paquete, com.craftstoon.cartoonphoto, junto con el sitio sospechoso contactado.

Rajcan siguió su tweet inicial y agregó que la aplicación primero presentaría una pantalla con un aviso de inicio de sesión de Facebook que redirige a una página de inicio de sesión de Facebook real.

Una vez que se usan las credenciales, la aplicación las dirige a un servidor de comando y control en zutuu(.)info, momento en el cual los atacantes pueden recopilar la información ingresada, robando efectivamente las credenciales de Facebook de un usuario.

Junto con el servidor C2, la aplicación también se conectaría a la URL de www.dozenorm(.)club donde se recopilarían más datos de los usuarios afectados.

Por otra parte, Pradeo , en su informe, el autor y distribuidor de aplicaciones como esta parecen automatizar el proceso de reempaquetado e inyectar una pequeña pieza de código malicioso en una aplicación genuina. Este proceso ayuda a las aplicaciones a superar el procedimiento de verificación de Play Store sin causar ninguna preocupación.

Obliga a los usuarios a iniciar sesión primero en su cuenta de Facebook, antes de dar ninguna funcionalidad. Pradeo también agregó que Play Store eliminó la aplicación a partir de hoy. Como era de esperar, la aplicación mantiene un falso aire de legitimidad después de iniciar sesión en Facebook cargando una imagen específica en el editor en línea, color.photofuneditor.com, que luego aplicará un filtro a la imagen.

La imagen actualizada se mostrará en la aplicación, donde el usuario puede descargarla o compartirla con amigos.

Si bien las aplicaciones como estas son divertidas de usar, los usuarios deben ser extremadamente cautelosos cuando cualquier aplicación solicita credenciales de inicio de sesión para otras aplicaciones, como Facebook. Ya que una vez que se inyecta un javascript malicioso en su dispositivo, este puede usarse para robar sus credenciales de inicio de sesión, dirección de correo electrónico, dirección IP y más.

Te recomendamos:

• Descubren fallas de seguridad graves en ordenadores DELL
• ¡Lo volvieron hacer! Hackers filtran hasta 37 GB del supuesto código fuente de Microsoft
• Una vulnerabilidad de día cero en Windows permite derechos de Administrador ¡parche no oficial disponible!