GhostTeam: un malware capaz de robar credenciales de Facebook

El equipo de investigación de Trend Micro ha descubierto un total de 53 aplicaciones en Google Play que pueden robar cuentas de Facebook y enviar anuncios subrepticiamente. Muchas de estas aplicaciones, que se publicaron en abril de 2017, parecían haber sido lanzadas a Google Play de una vez. Detectadas por Trend Micro como ANDROIDOS_GHOSTTEAM, muchas de las muestras analizadas están en vietnamita, incluidas sus descripciones en Google Play, aunque las configuraciones de GhostTeam están en inglés y vietnamita, de manera que el inglés será el idioma predeterminado si el malware detecta la geolocalización fuera de Vietnam. India, Indonesia, Brasil, Vietnam y Filipinas son los países más afectados por GhostTeam.

También puedes leer... La nueva Mafia El riesgo de los altavoces inteligentes Los cinco grandes mitos de las Brechas de Seguridad Consideraciones para la creación de un SOC Cómo utilizar la Dark Web para la inteligenciad de amenazas

Las aplicaciones se presentan como utilidades (linterna, escáner de código QR, brújula), aplicaciones que mejoran el rendimiento de los dispositivos (transferencia y limpiador de archivos) y descargadores de videos de redes sociales. El uso de descargadores de video como ganchos de ingeniería social, que atrae a los usuarios con funciones que les permiten descargar videos para verlos sin conexión, atrae a muchos usuarios de Facebook.

Para garantizar la infección, el malware solo recuperará la carga después de confirmar que el dispositivo no es un emulador o un entorno virtual. La carga útil se disfraza de "servicios de Google Play", pretendiendo verificar una aplicación. Si el usuario abre Google Play o Facebook, muestra una alerta instando a la víctima a instalar los falsos servicios de Google Play. Después de la instalación, la carga útil también solicitará al usuario activar / habilitar el administrador del dispositivo, un privilegio que se utiliza como mecanismo de persistencia para evitar que los usuarios desinstalen aplicaciones.

Una vez que el usuario abre la aplicación de Facebook, un cuadro de diálogo le pedirá que verifique su cuenta. El proceso de verificación es un procedimiento de inicio de sesión típico, sin embargo, ejecuta un WebView. El código malicioso inyectado en el cliente de WebView robará el correo electrónico y la contraseña utilizados para iniciar sesión en Facebook, credenciales que se envían al servidor de comando y control.

Además de robar las credenciales de Facebook, GhostTeam bombardea al dispositivo con anuncios. Mantiene el dispositivo en estado de alerta mostrando anuncios en segundo plano, y mostrará anuncios de pantalla completa en la pantalla de inicio si el usuario está interactuando con el dispositivo. Si bien el adware no es intrínsecamente malo, se convierte en un problema cuando se vuelve intrusivo, recopila más información de la necesaria o abre la puerta a otro tipo de malware. Los usuarios pueden mitigar significativamente GhostTeam deshabilitando la función de administrador del dispositivo.