Desde marzo está dando vueltas por la red un malware llamado FlyTrap que roba información confidencial de cuentas de Facebook en todo el mundo. Hasta el momento se supo que hay al menos 10.000 víctimas de este malware de 140 países diferentes.
Zimperium fue la primera empresa en alertar sobre la existencia de este virus y sobre la cantidad de datos que podría haber robado en los últimos meses, mientras que otras firmas de seguridad siguen investigando.
FlyTrap entra dentro de la categoría de malware "troyano", porque trata de pasar desadvertido en tu teléfono o computadora mientras accede al mismo con la intención de ejecutar acciones ocultas para abrir "puertas traseras" para que otros programas malignos accedan.
Pueden llegar al usuario como si fueran archivos legítimos, muchas veces disfrazados de ejecutables que no harán daño al ser utilizados.
En el caso concreto de FlyTrap se descubrió que accedía a la información de las víctimas a través del secuestro de redes sociales, tiendas de aplicaciones de terceros y aplicaciones cargadas lateralmente.
El equipo de zLabs determinó que este malware previamente no detectado forma parte de una familia de troyanos que emplean trucos de ingeniería social para comprometer las cuentas de Facebook.
Las aplicaciones se distribuían a través de Google Play y de otras tiendas de aplicaciones, Zimperium zLabs informó de los hallazgos a Google, que verificó la investigación proporcionada y las eliminó de Google Play, pero siguen estando en tiendas de terceros.
Estas aplicaciones se hacen pasar por servicios que permiten descuentos en Netflix, apps para votar equipos en campeonatos de fútbol como la Eurocopa u obtener descuentos en Google Adwords.
Una vez que el usuario confía en la app y la descarga ya que su diseño es de alta calidad y son creíbles, la app maliciosa muestra páginas atractivas para el usuario buscando que este inicie sesión para obtener su descuento o para poder votar. Cuando accedés a través de tu Facebook ya estarías dando tus datos de acceso a la red social.
Esto busca engañar al usuario ya que en realidad no existe ninguna votación real ni un cupón de descuento. Al llegar a la pantalla final. se trata de justificar el falso código del cupón mostrando un mensaje que dice que "El cupón ha caducado".
Hay formas de secuestrar sesiones incluso entrando en el dominio original y legítimo. Este troyano aprovecha una de estas técnicas, conocida como inyección de JavaScript. Utilizando esta técnica, la aplicación abre la URL legítima dentro de una WebView configurada con la capacidad de inyectar código JavaScript y extrae toda la información necesaria, como las cookies, los detalles de la cuenta del usuario, la ubicación y la dirección IP mediante la inyección de código malicioso.
Los datos que roban son, además de tu identificación privada para entrar a tu cuenta de Facebook, tu ubicación, la dirección IP, el correo electrónico o los datos de cookies y tokens asociados a la cuenta. Teniendo estos datos, FlyTrap busca llegar a más usuarios al hacer que un usuario real (al que le robó los datos) comparta publicaciones con sus contactos para hacerlas pasar como legítimas.
Incluso, el mensaje se envía con información sobre la geolocalización de la víctima y no se descarta que, manejando tanta información, es posible que se puedan llegar a robar otros datos de máxima importancia.
Como siempre, mantenerse al día con las novedades de seguridad es esencial para no caer en trampas. Además, es vital no descargar nunca aplicaciones en tiendas o en webs de las que no se conoce su origen.
Hasta ahora se conocen 9 apps que se usan para expandir esta malware, y son las siguientes:
Es posible que existan muchas más pero lo mejor para no caer en estas trampas es descargas aplicaciones de origen dudoso, aún cuando sea recomendada por un contacto tuyo a través de Facebook.
En caso de que hayas instalado algunas de estas aplicaciones en tu celular, lo más importante es borrarla rápidamente ya que el malware puede seguir activo. También es fundamental cambiar la contraseña de acceso a tu cuenta de Facebook y advertir a tus contactos (puede ser a través de un mensaje público en tu perfil) de que en caso de que reciben algo tuyo relacionado con los mencionados servicios, que no acepten ni descarguen ningún programa ya que puede llegar a ser un malware, según informó Genbeta.