Los ciberdelincuentes están intentando aprovechar la popularidad de Clubhouse para distribuir un malware que tiene como objetivo robar la información de inicio de sesión de los usuarios Android para una variedad de servicios en línea, según descubrió un investigador cibernético.
Lukas Stefanko de la compañía checoslovaca ESET, dedicada a la ciberseguridad, descubrió que a partir de simular ser una versión para Android de Clubhouse, la cual aún es inexistente, un paquete malicioso es distribuido desde un sitio web que tiene la apariencia de la famosa red social de contenidos de audio.
“El sitio web parece el auténtico. Para ser franco, es una copia bien lograda del sitio web legítimo de Clubhouse. Sin embargo, una vez que el usuario hace clic en ‘Obtenerla en Google Play’, la aplicación se descargará automáticamente en el dispositivo del usuario. Tengamos presente que los sitios web legítimos siempre redirigen al usuario a Google Play en lugar de descargar directamente el Android Package Kit (APK)”, dijo Stefanko.
De acuerdo con el experto, el malware se trata de un troyano apodado “BlackRock”, el cual fue detectado por ESET como Android/TrojanDropper.Agent.HLR, tiene la capacidad de robar los datos de inicio de sesión de las víctimas para no menos de 458 servicios en línea.
La lista de servicios para los cuales puede robar las credenciales de acceso incluye aplicaciones de exchange de criptomonedas, apps financieras y para realizar compras, así como de redes sociales y plataformas de mensajería.
Entre los datos robados están los de plataformas como:
- Amazon
- Netflix
- Outlook
- eBay
- Coinbase
- Plus500
- Cash App
- BBVA
- Lloyds Bank
¿Cómo opera el malware que se hace pasar por Clubhouse?
Una vez que la víctima cae en la trampa y descarga e instala “BlackRock”, el troyano intenta robar las credenciales mediante un ataque de superposición, conocido en inglés como overlay attack.
Provocando que cada vez que un usuario inicia en su teléfono el malware utilizará una aplicación de un servicio que esté en la lista, para crear una pantalla que se superpondrá a la app original y solicitará al usuario que inicie sesión.
Pero en lugar de iniciar sesión en el servicio, el usuario habrá entregado sin darse cuenta sus credenciales a los ciberdelincuentes.
Además, la aplicación maliciosa también le pide a la víctima que habilite los servicios de accesibilidad, permitiendo efectivamente que los delincuentes tomen el control del dispositivo.
¿Cómo identificar el sitio falso de Clubhouse?
El investigador señaló que algunos indicios de la falsedad del sitio son que la conexión no se realiza de manera segura, es decir, en lugar de marcar en la dirección HTTPS, marca sólo HTTP.
Así como que el sitio utiliza el dominio .mobi y no .com tal como lo utiliza la aplicación legítima de Clubhouse.
Otra señal de advertencia es que, aunque Clubhouse está planeando lanzar pronto la versión para Android de su aplicación, la plataforma sigue estando disponible sólo para iPhones.
¿Qué es Clubhouse?
Clubhouse es una plataforma de salas de conversaciones únicamente de audio. Fue lanzada en marzo y permite escuchar discusiones en vivo, y en ocasiones participar en ellas, sobre temas tan variados como “Cómo aprender a codificar”, la meditación o incluso juegos de cultura general.
La red social sólo es accesible en iOS y para acceder a ella se necesita tener una invitación. Pero gracias a los confinamientos impuestos por la pandemia y las apariciones de celebridades como el empresario Elon Musk, actualmente crece a ritmo de 10 millones de usuarios por semana.
