Este tiene la capacidad de robar credenciales de inicio de sesión de aplicaciones de servicios diferentes, tanto financieras, de compras, billeteras de criptomonedas, redes sociales, mensajería instantánea y además evadir el doble factor de autenticación vía SMS.

Simulando ser la versión para Android de Clubhouse, la app de contenidos en formato audio a la que solo se accede por invitación y cuya versión existe solo para iPhone, el paquete malicioso es distribuido desde un sitio web que tiene la apariencia del sitio legítimo.

La lista de servicios para los cuales puede robar las credenciales de acceso incluye aplicaciones de exchange de criptomonedas, apps financieras y para realizar compras, así como de redes sociales y plataformas de mensajería. Para empezar, servicios como Twitter, WhatsApp, Facebook, Amazon, Netflix, Outlook, eBay, Coinbase, Plus500, Cash App, Bbva y Lloyds Bank están presentes en la lista.

“El sitio web parece el auténtico. Es una copia bien lograda del sitio web legítimo de ClubHouse. Sin embargo, una vez que el usuario hace clic en ‘Obtenerla en Google Play’, la aplicación se descargará automáticamente en el dispositivo. Tengamos presente que los sitios web legítimos siempre redirigen al usuario a Google Play en lugar de descargar directamente el Android Package Kit (APK)”, mencionó Lukas Stefanko, investigador de Eset que identificó el troyano.

Una vez que la víctima cae en la trampa y descarga e instala BlackRock, el troyano intenta robar sus credenciales mediante un ataque de superposición. Cada vez que un usuario inicia en su teléfono una aplicación de un servicio que esté en la lista, el malware creará una pantalla que se superpondrá a la de la app original y solicitará al usuario que inicie sesión. Pero en lugar de iniciar sesión en el servicio, el usuario habrá entregado sin darse cuenta sus credenciales a los ciberdelincuentes.

“Es posible descubrir copias aún más sofisticados en el futuro”, advirtió. Para esto recomienda visitar siempre los sitios oficiales, estar alerta y mantener actualizado el software del dispositivo.

DATO

Aunque Clubhouse está planeando lanzar pronto la versión para Android de su aplicación, la plataforma sigue estando disponible solo para celulares iPhone.