El investigador de malware Lukas Stefanko, de ESET, ha descubierto un intento de distribución de un software malicioso que se hace pasar por la versión oficial de la nueva red social Clubhouse para dispositivos de Android. Quienes descarguen la app, en lugar de acceder las conversaciones en formato audio, abrirán las puertas de su dispositivo a un troyano bancario apodado Blackrock.
El malware roba las credenciales de acceso de 458 aplicaciones, entre ellas las financieras, bancarias, de intercambio de criptomonedas y carteras digitales, así como de redes sociales, apps de mensajería instantánea o aquellas para realizar compras. Facebook, Twitter, WhatsApp, Netflix, Outlook, Amazon o eBay son algunos de los servicios contra los que va dirigido el troyano, además de BBVA, Lloyds Bank, Coinbase, Cash App y Plus500, entre muchos otros, advierten desde ESET.
La autenticación de dos factores (2FA) mediante SMS, la que suelen emplear los bancos y una serie de otras apps, no necesariamente ayudaría en el caso del contagio del dispositivo con Blackrock, ya que el malware también puede interceptar mensajes de texto y pedir permisos para habilitar los servicios de accesibilidad, dándoles a los ‘háckers’ un control total sobre el dispositivo infectado, indic RT.
Además, el sitio web a través del cual los ciberdelincuentes distribuyen el malware parece auténtico y no carece del botón especial que, supuestamente, redirige a Google Play para descargar la app. Sin embargo, una vez que el usuario haga clic, la descarga empezará automáticamente.
“Por el contrario, los sitios web legítimos siempre redirigen al usuario a Google Play en lugar de descargar directamente un Android Package Kit (APK)”, recordó Stefanko. Además, incluso antes de hacer clic en el botón no es imposible darse cuenta de que no todo está bien con el portal desde el que se ofrece descargar ‘Clubhouse para Android’.
Así, por ejemplo, la conexión no es segura, ya que en lugar de HTTPS se usa HTTP, y se utiliza el dominio de nivel superior ‘.mobi’ (TLD) en vez de ‘.com’ al que acude la aplicación real. Otra señal que debería alertar al usuario es el hecho de que, una vez descargada la ‘app’, en la carpeta de los archivos descargados llevará el nombre ‘Install’, sin mención alguna a Clubhouse.
De todas formas, la propia red social todavía no ha anunciado el lanzamiento de su plataforma en los dispositivos Android y, aunque sí planea hacerlo en el futuro, por ahora Clubhouse solo está disponible para iPhone.