Meta descubre 400 apps en Android e iOS que robaban la contraseña de Facebook: casi un millón de usuarios pueden ser víctimas

David Agranovich, director de disrupción de amenazas en Meta, la firma propietaria de Facebook, WhatsApp o Instagram, ha tenido que dar esta semanamalas noticias. Cerca de un millón de sus usuarios en Facebook podrían haber sufrido un robo de credenciales. Las causantes: centenares de aplicaciones disponibles para Android e iOS que incluían un código malicioso.

La multinacional tecnológica se pondrá en contacto con el millón de usuarios que podrían haberse visto afectados por ese malware. Para ser considerado un potencial afectado, basta con que una persona se haya descargado en su dispositivo una de las aplicaciones que incluía ese código. Meta ha encontrado más de 400 aplicaciones con ese malware.

Se tratan, concretamente, de 355 aplicaciones en Android y de 47 aplicaciones disponibles en iOS, el ecosistema de iPhone. Son aplicaciones sencillas, que se hacen pasar por herramientas inocentes: desde aplicaciones de linterna para el móvil a editores de foto o juegos. "Hay apps legítimas del estilo, pero los criminales saben que son muy populares y se aprovechan", recuerda Agranovich.

Lo preocupante, además, es que este robo masivo de credenciales no se circunscribe a ninguna región concreta ni a ningún grupo de usuarios específico. En otras palabras, esas 400 apps en Android e iOS estaban disponibles por todo el globo, con lo que el millón de usuarios que las habría descargado y podrían verse afectados estarían ubicados en todo el mundo.

Eso sí, el propio Agranovich confirma que esta campaña solo sucedía contra usuarios de Facebook: las cuentas de Instagram o WhatsApp están a salvo.

En una comparecencia ante los medios, Agranovich reconoció que era imposible hacer un conteo pormenorizado de cuántas personas podrían haber visto sus cuentas de usuario en Facebook vulneradas por estas apps, pero la cifra de un millón sale de que ese es el número de usuarios que descargaron las apps maliciosas. Varios medios se han hecho eco ya de la noticia, como Axios.

El funcionamiento de estas apps maliciosas es sencillo: cuando son descargadas, piden a los usuarios que inicien sesión en ellas y para tal fin ofrecen la opción de hacerlo con el botón de iniciar sesión con Facebook. Cuando los usuarios pinchan en esa opción se abre un formulario en el que los usuarios introducen su cuenta. Ahí se activa el malware, que empieza a recopilar esa información.

No es la primera vez que una incidencia de este estilo se registra en las tiendas de aplicaciones de Google y Apple. Ambas compañías ya han avanzado que han eliminado esas aplicaciones que han sido detectadas por Meta. Aunque ambos servicios cuentan con sistemas de vigilancia y prevención de malware, sencillamente esos sistemas no siempre son capaces de cubrirlo todo.

Por eso el responsable de amenazas en Meta, Agranovich, ha lanzado un mensaje: "Si una aplicación de linterna pide que inicies sesión con Facebook antes de darte cualquier funcionalidad de linterna, probablemente haya algo de lo que debas sospechar".

El hallazgo de aplicaciones con malware es algo demasiado habitual. En julio de este año Google identificó otras 36 utilidades que contenían código malicioso y fueron retiradas de su plataforma: pudieron haber afectado a millones de usuarios. En junio y en abril también se descubrieron otras tantas.