Más de 300.000 usuarios en decenas de países de todo el mundo podrían haber sido víctimas de una campaña de malware para Android bautizada como Schoolyard Bully Trojan.
El malware se camuflaría como apps de tipo educativo legítimas con el fin de atraer a los usuarios para que se las bajen.
"Este troyano utiliza la inyección de JavaScript para robar las credenciales de Facebook", han comentado los investigadores de Zimperium Nipun Gupta y Aazim Bill SE Yaswant en un informe compartido con The Hacker News.
El malware es capaz de iniciar la página de sesión de Facebook en una ventana web, la cual también incorpora código JavaScript malicioso que se encarga de filtrar el número de teléfono, la dirección de email y la contraseña del usuario a un servidor de comando y control configurado.
Para más inri, el troyano se sirve de bibliotecas nativas con las que evita la detección por parte de los antivirus.
Una amenaza omnipresente
Las citadas apps han estado alojadas durante una buena temporada en la Google Play Store, la tienda oficial de Android. Una vez retiradas de allí, siguen estando presentes en markets de terceros.
Estaríamos hablando de una amenaza bastante global. En un principio se encontró el malware en apps en idioma vietnamita, pero se ha descubierto que también está presente en otras herramientas disponible en más de 70 países.
Hace algo más de un año Zimperium halló una actividad similar dirigida a comprometer las cuentas de Facebook a través apps Android no autorizadas en una campaña denominada FlyTrap.
"Los atacantes pueden causar muchos estragos al robar contraseñas de Facebook", alerta Richard Melick, director de inteligencia de amenazas móviles de Zimperium. "Si pueden hacerse pasar por alguien desde su cuenta legítima de Facebook, se vuelve extremadamente fácil engañar a amigos y otros contactos para que envíen dinero o información confidencial".
"También es muy preocupante cuántas personas reutilizan las mismas claves para distintos servicios digitales. Si un atacante roba el password de Facebook de alguien, existe una alta probabilidad de que el mismo correo electrónico y contraseña funcionen con aplicaciones bancarias o financieras, cuentas corporativas y mucho más", apostilla.