La compañía de ciberseguridad Eset Latinoamérica advirtió esta semana que hay una aplicación falsa de Clubhouse distribuida por cibercriminales para robar credenciales de acceso a varios servicios en línea.
Clubhouse es una red social que se lanzó en 2020 y en la que sus usuarios se comunican por medio de audios. Permite que los miembros escuchen las conversaciones que tienen lugar en “salas” en línea y hagan comentarios si lo desean. Por el momento, solo existe una versión para iPhone (sistema operativo iOS) y se accede por invitación.
Le puede interesar: ¿Qué es Clubhouse, la nueva red social que coge fuerza rápidamente?
De acuerdo con Eset, la aplicación falsa se distribuye desde un sitio web que tiene la apariencia del sitio legítimo de Clubhouse y contiene un software malicioso capaz de robar los datos de inicio de sesión de las víctimas en al menos 458 servicios en línea.
La lista de servicios vulnerables va desde redes sociales y plataformas de mensajería hasta aplicaciones financieras y de comercio electrónico. Incluye apps como Twitter, WhatsApp, Facebook, Amazon, Netflix, Outlook, eBay, Coinbase, Plus500, Cash App, BBVA y Lloyds Bank.
“El sitio web parece el auténtico. Es una copia bien lograda del sitio web legítimo de Clubhouse. Sin embargo, una vez que el usuario hace clic en ‘Obtenerla en Google Play’, la aplicación se descargará automáticamente en el dispositivo del usuario. Tengamos presente que los sitios web legítimos siempre redirigen al usuario a Google Play en lugar de descargar directamente el Android Package Kit (APK)”, aseguró Lukas Stefanko, el investigador de Eset que identificó el troyano.
Otros indicios sospechosos son que la conexión al sitio web no se realiza de manera segura (HTTP en lugar de HTTPS) y que la página utiliza el dominio “.mobi” en lugar de “.com”.
Según la firma de ciberseguridad, cuando la víctima instala el malware BlackRock (que, de hecho, se llama “Install” en lugar de “Clubhouse”), cada vez que inicie una aplicación de un servicio que esté en la lista, el malware creará una pantalla que se superpondrá a la de la app original y solicitará al usuario que inicie sesión. Así robará las credenciales que la persona digite sin que se de cuenta.
En esa línea, los expertos alertaron que el doble factor de autenticación (2FA) por medio de mensajes de texto no necesariamente ayuda, pues este troyano puede interceptar los SMS. También solicita a la víctima que habilite los servicios de accesibilidad, permitiendo que los delincuentes tomen el control del dispositivo.
Lea también: Telegram estaría preparando salas de voz para sus canales al estilo de Clubhouse
La principal recomendación de los expertos para evitar caer en estas trampas es utilizar solo las tiendas oficiales para descargar aplicaciones en sus dispositivos.
También puede ayudar el mantener el dispositivo actualizado, tener una solución de seguridad móvil confiable, utilizar tokens de contraseñas de un solo uso (OTP) basados en hardware o software en lugar de SMS e investigar un poco sobre la aplicación antes de descargarla. Esto incluye revisar el desarrollador y las reseñas que han incluido los usuarios.