GhostTeam malware Encontrado en 53 aplicaciones Play Store
Otro día, otro malware para Android dirigido a quienes descargan aplicaciones de la PlayStore. Esta vez, sin embargo, el malware apunta a secuestrar cuentas de Facebook y Google Play.
Los investigadores de Trend Micro han identificado un nuevo malware para Android denominado GhostTeam. Es capaz de robar credenciales de Facebook después de infectar dispositivos. El malware engaña a los usuarios desprevenidos para que lo instalen y se propaga a través de aplicaciones maliciosas infectadas. La investigación sugiere que está presente en 53 aplicaciones diferentes. Una de estas aplicaciones infectadas tiene más de 100.000 descargas.
Países en los que hay mayor presencia de GostTeam
Los principales objetivos de GhostTeam incluyen usuarios en Brasil, India e Indonesia, pero los investigadores opinan que esta campaña se extenderá a otras regiones, muy probablemente a los EEUU. Ya que la PlayStore ha albergado aplicaciones maliciosas desde abril de 2017.
¿Cómo funciona GostTeam?
Al igual que otros programas maliciosos de Android, GhostTeam también es capaz de realizar una variedad de tareas. Básicamente, roba credenciales de Facebook, que los investigadores de Trend Micro creen que podría ser un intento de construir lo que llaman un «ejército de medios sociales zombies». Su objetivo, especulan los investigadores, es difundir artículos de noticias no auténticos y criptodivisas minería malware junto con el lanzamiento completo anuncios en pantalla en dispositivos específicos para generar ingresos por click.
¿En que tipo de Aplicaciones las puedes encontrar?
Las aplicaciones en las que encontramos este malware son inofensivas. Siendo aplicaciones regulares como descargadores de vídeos de redes sociales, linternas, escáneres QR, etc. Debe tenerse en cuenta que el malware no se descarga mediante la instalación de estas aplicaciones al igual que otros. Sino que implica un proceso de ataque de varias etapas para mantener oculta su carga útil.
Después de descargar la aplicación infectada, verifica si se está ejecutando en un emulador de Android. Con la finalidad de ocultar su código a los profesionales de la seguridad. Una vez que se da cuenta de que se está ejecutando en un dispositivo físico. Descarga el malware GhostTeam en forma de Google Play Services. Cuando el usuario abre Facebook o Google Play, aparece una ventana emergente solicitando la instalación de la aplicación falsa. Haciéndose pasar por los Servicios de GooglePlay y también solicitando permisos a nivel de administrador.
Después, cada vez que el usuario abre Facebook por primera vez, se carga una página falsa de WebView, que le pide al usuario que verifique su cuenta de Facebook. El malware captura el ID y la contraseña del correo electrónico y lo envía de inmediato a su servidor de C & C. Si 2FA no está habilitado, los atacantes accederían fácilmente a la cuenta.
¿Qué hacer para protegerse?
Para mantenerse protegido, debes instalar una aplicación de antivirus confiable y, antes de descargar una aplicación, revisa sus comentarios y calificaciones. Si sospechas algo, no lo descargues en absoluto. Además, debe mantener el dispositivo Android actualizado con los últimos parches de seguridad.
Si de alguna manera eres presa de la infección de GhostTeam, puedes deshabilitar los permisos de administrador del dispositivo para acceder al menú de Configuración para mitigar la amenaza. Finalmente, es realmente importante habilitar 2FA (autenticación de dos factores) para Facebook y todas las demás cuentas de redes sociales donde esté disponible.
Trend Micro ya informó a Google sobre la presencia de aplicaciones infectadas y estas también se eliminaron. La compañía ha actualizado Google Play Protect para detectar GhostTeam.