Una vez más la seguridad de la Google Play queda en entredicho y es que nuevamente investigadores han descubierta varias aplicaciones que venían con un troyano que robaba nuestras credenciales de Facebook, una desagradable sorpresa que vuelve a poner en tela de juicio la seguridad de la tienda de Android. La cosa no es para bromas y es que hablamos de aplicaciones que en algunos casos tenían más de 5.8 millones de descargas, por lo que el número de cuentas comprometidas es enorme.

Si tienes alguna de estas aplicaciones bórralas ahora mismo, están robando tus credenciales de Facebook

La investigación que ha sacado a la luz esto ha corrido por cuenta del equipo de Dr. Web, quienes tras detectar nueve aplicaciones en la Google Play Store que albergan un troyano en sus códigos, procedieron a contactar con el equipo de Google que a su vez elimino las aplicaciones de la tienda de Android y bloqueo las cuentas de los desarrolladores

El sistema para lograr robar las credenciales consistía en ofrecer eliminar la publicidad con solo registrarse con nuestra cuenta de Facebook, momento en que usaban WebView para mostrar la pagina de login de Facebook, pero que al mismo tiempo ejecutaba un programa en JavaScript que capturaba el usuario y contraseña, al tiempo que robaban las cookies de la sesión autorizada, enviando luego estos datos a los servidores de los atacantes.

Estos troyanos utilizaron un mecanismo especial para engañar a sus víctimas. Después de recibir la configuración necesaria de uno de los servidores de C&C al iniciar, cargaron la página web legítima de Facebook https://www.facebook.com/login.php en WebView. A continuación, cargaron JavaScript recibido del servidor C&C en el mismo WebView. Este script se usó directamente para secuestrar las credenciales de inicio de sesión ingresadas. Después de eso, este JavaScript, utilizando los métodos proporcionados a través de la anotación JavascriptInterface, pasó el nombre de usuario y la contraseña robados a las aplicaciones troyanas, que luego transfirieron los datos al servidor C&C de los atacantes. Una vez que la víctima inició sesión en su cuenta, los troyanos también robaron cookies de la sesión de autorización actual. Esas cookies también se enviaron a los ciberdelincuentes.

Las aplicaciones que se han detectado con este troyano son las siguientes:

  • PIP Photo, con más de 5.8 millones de descargas
  • Processing Photo, con más de 500,000 descargas
  • Rubbish Cleaner: con más de100,000 descargas
  • Inwell Fitness: con más de 100,000 descargas
  • Horoscope Daily: con más de 100,000 descargas
  • App Lock Keep: con más de 50,000 descargas
  • Lockit Master: con más de 5,000 descargas
  • Horoscope Pi: 1,000 descargas
  • App Lock Manager: 10 descargas

Si tienes alguna de ellas en tu dispositivo es conveniente que la elimines y a continuación procesas a cambiar tus datos de logueo de tu cuenta de Facebook.

Siguenos en nuestro canal de Telegram para no perderte nada.


Esta web usa enlaces de afiliación que ayudan a su mantenimiento, con ellos recibimos una comisión por cada compra que los usuarios hagan, aunque esto no supone un aumento de su precio, solo nos echas una cable en los gastos de la web.

Sobre El Autor
Pedro A.
Editor Jefe, enamorado de mi familia y de la tecnología en cualquiera de sus formas, aficionado a la Sci-Fy y a mirar al cielo nocturno. Tratando de vivir la vida sin remordimientos.