El troyano Android.Fakeapp lleva años adoptando distintas variantes para colarse en los móviles Android y robar datos personales de los usuarios. Una de sus versiones más recientes imita la pantalla de inicio de la aplicación de Uber. Cuando se introduce el nombre de usuario y la contraseña, la app falsa muestra una pantalla de la aplicación real de Uber, para no levantar sospecha alguna. Sin embargo, la aplicación maliciosa ya ha desviado los datos hacia un servidor remoto. Así, los programadores del troyano pueden vender el log in suplantado, o usarlo para comprometer otras cuentas del mismo usuario.
La empresa de seguridad Symantec ha detectado esta aplicación falsa de Uber durante una búsqueda de otras fake apps. Según Symantec, los creadores de esta versión de Android.Fakeapp “han sido creativos”. La app falsa hace algo más que imitar la interfaz de inicio de Uber. Mediante deep linking (enlace profundo), es capaz de cargar una pantalla de la aplicación auténtica. Desde ella, se inicia la solicitud de viaje con la ubicación del usuario como punto de recogida. Así, el usuario cree que está utilizando la app de Uber con normalidad, y se evita que cambie su clave antes de que los autores del troyano puedan utilizarla.
¿Cómo evitar una aplicación falsa? Hay que descargar solo desde sitios fiables
Según ha declarado un portavoz de Uber a Engadget, “esta técnica de suplantación de identidad requiere que los usuarios descarguen una aplicación maliciosa desde fuera de la Play Store oficial. Recomendamos descargar solo aplicaciones de fuentes fiables. Sin embargo, queremos proteger a nuestros usuarios. Por ello, disponemos de una serie de controles de seguridad para detectar y bloquear inicios de sesión no autorizados”. En cualquier caso, estas declaraciones contrastan con la falta de transparencia de la empresa ante la brecha de seguridad detectada durante 2016.
Symantec explica que esta nueva iteración del troyano Android.Fakeapp “demuestra la interminable búsqueda de los creadores de malware” para encontrar nuevas técnicas con las que engañar a los usuarios. Los consejos para evitar ser víctimas de una aplicación falsa son los habituales:
- No hay que descargar nada desde fuentes desconocidas.
- Hemos de revisar los permisos que requieren las apps que instalamos.
- Debemos asegurarnos de que nuestro software esté actualizado.
- Instalar aplicaciones antimalware fiables.
