Falsa aplicación de Facebook disfrazada de verificación de seguridad es capaz de espiar móviles Android y capturar datos bancarios

Madrid, 23 de abril de 2014 – En los últimos días, ESET España ha descubierto una nueva falsa aplicación de Facebook que se está distribuyendo a través de la popular red social y que simula ser un proceso de verificación de seguridad. Sin embargo, en realidad, intenta conseguir el número de teléfono de los usuarios con el único propósito de engañarlos para que instalen el troyano para Android iBanking, detectado por ESET como Spy.Agent.AF, y atacar así a dispositivos Android, espiarlos e incluso capturar datos bancarios.

El mecanismo de funcionamiento de la falsa aplicación es muy sencillo y está diseñado para engañar a cualquier usuario de Facebook, ya que simula la verificación de cuentas en dos pasos ya implantada por otros servicios, como Twitter o Google. Así, durante la navegación, aparece una pantalla que simula ser el propio Facebook con un mensaje en el que se informa al usuario de que debido al gran número de intentos de conseguir un acceso no autorizado a su cuenta, la Administración de la red social ha introducido un nuevo sistema de protección, gratuito y que garantiza un acceso seguro.

Para ello, el usuario tiene que introducir su número de teléfono y su sistema operativo y descargar el programa que recibirá vía SMS. (imagen 01:Verification)

Los hackers utilizan el conocido troyano bancario llamado Win32/Qadars para mostrar este mensaje en Facebook. Y es posible gracias a que el malware desarrollado para Windows se utiliza para inyectar el mensaje en el navegador del usuario vía JavaScript, de manera que parece que el propio Facebook es el que está mostrando el aviso.

Si el usuario introduce su número de teléfono, se le muestra el siguiente mensaje (imagen 02: SMS verification)

El usuario recibe entonces un mensaje SMS con el link para la descarga de la aplicación, que no está alojada en Google Play sino en otro sitio de terceros, por lo que el usuario tiene que cambiar la configuración de Android para permitir su instalación (imagen 03: Activate device administra...)

Una vez descargado el software e instalado, los ciberdelincuentes son capaces de escuchar las llamadas realizadas desde el terminal Android, interceptar los mensajes SMS, sustraer datos almacenados en el teléfono, incluyendo datos y vídeo, capturar imágenes de pantalla e incluso grabar y escuchar conversaciones privadas que el usuario pueda estar teniendo junto al teléfono o las coordenadas GPS del teléfono.

Dado que muchos sistemas de banca online utilizan los mensajes SMS para la verificación de cuentas y el envío de todo tipo de coordenadas, es posible que al poder interceptar este tipo de mensajes, pudieran tener acceso a la información bancaria del usuario.

La recomendación de ESET España es no instalar ninguna aplicación que esté alojada en sitios de terceros fuera de los oficiales, en este caso, Google Play. Y ante la duda sobre alguna nueva funcionalidad implantada por Facebook o por cualquier otra red social, se recomienda buscar primero información y referencias en la Red antes de proceder a introducir datos personales o a instalarla.

Más información sobre estas y otras amenazas en el Blog de Laboratorio de ESET España.