Los usuarios de Instagram se convirtieron en el objetivo de varias apps nuevas utilizadas para robar credenciales, que aparecen en Google Play como herramientas para administrar o incrementar el número de seguidores en la red social.

Imagen 1: Apps maliciosas en Google Play

Se descubrieron 13 aplicaciones móviles maliciosas, detectadas como Android/Spy.Inazigram, en la tienda oficial Google Play. Estas apps extraían las credenciales de Instagram y las enviaban a un servidor remoto, en un comportamiento similar a las campañas de phishing.

Aunque parecen haber sido desarrolladas en Turquía, algunas estaban localizadas en idioma inglés para llegar a usuarios de todo el mundo. En total, las apps maliciosas fueron instaladas por hasta un millón y medio de usuarios, pero luego de la notificación de ESET, las 13 fueron eliminadas de la tienda.

¿Cómo funcionan?

Todas utilizaban la misma técnica de recopilación de credenciales de Instagram y las enviaban a un servidor remoto. Para atraer a los usuarios y convencerlos de que las descargaran, las apps les prometían aumentar rápidamente el número de "seguidores", de "me gusta" y de "comentarios" en sus cuentas de Instagram.

Irónicamente, las cuentas robadas luego se utilizaron para aumentar la cantidad de seguidores de otros usuarios, como explicamos más abajo.

Imagen 2: La app "Instagram Followers" promete mejorar la popularidad en Instagram

Como se ve en la siguiente captura de pantalla tomada de nuestro análisis de "Instagram Followers", una de las apps maliciosas detectadas, el programa requiere que el usuario inicie sesión a través de una pantalla similar a la de Instagram. Al hacerlo, las credenciales ingresadas en el formulario se envían al servidor de los atacantes en texto sin formato. Sin embargo, el usuario no podrá iniciar sesión y en cambio verá una pantalla de error por haber ingresado (supuestamente) la contraseña incorrecta.

Imagen 3: Pantalla similar al inicio de sesión de Instagram

 

Imagen 4: La pantalla de error por contraseña incorrecta impide que el usuario inicie sesión en la app

La pantalla de error también le sugiere al usuario que visite el sitio oficial de Instagram y verifique su cuenta para poder iniciar sesión en la app de terceros. Como las víctimas reciben una notificación de la red social respecto a un intento de inicio de sesión no autorizado en su nombre, indicando que verifiquen su cuenta lo antes posible, la nota de la app pretende reducir las sospechas de antemano.

Imagen 5: Notificación oficial de Instagram sobre el intento de inicio de sesión no autorizado

Si los atacantes logran su cometido y el usuario no reconoce la amenaza al ver la notificación de Instagram, y por lo tanto no cambia sus credenciales, los atacantes podrán seguir usándolas posteriormente para acceder a la cuenta.

¿Qué ocurre con las contraseñas interceptadas?

Seguramente te preguntarás: ¿Para qué pueden servir un par de (cien mil) credenciales de Instagram robadas?

Además de la oportunidad de usar cuentas interceptadas para propagar spam y anuncios publicitarios, también hay varios "modelos de negocio" donde los activos más valiosos son la cantidad de seguidores, de "me gusta" y los comentarios de los usuarios.

En nuestra investigación, rastreamos los servidores a los que se envían las credenciales, los cuales están conectados a sitios web que venden diversos paquetes para mejorar la popularidad en Instagram.

Imagen 6: Sitios web que venden seguidores de Instagram

El siguiente esquema explica su funcionamiento:

 

¿Qué puedes hacer para estar protegido?

Si descargaste una de estas aplicaciones móviles, encontrarás uno de sus íconos entre las apps instaladas en tu dispositivo. También tendrás que haber recibido un aviso de Instagram indicando que alguien intentó iniciar sesión en tu cuenta, como se muestra en la Imagen 4. Por último, es probable que tu cuenta haya aumentado el número de "seguidores" y "siguiendo", y quizá estés recibiendo respuestas a comentarios que nunca publicaste.

Para desinfectar el dispositivo, desinstala las apps mencionadas arriba desde el administrador de aplicaciones o utiliza una solución de seguridad móvil reconocida para eliminar todas las amenazas.

Para proteger tu cuenta de Instagram, cambia la contraseña de inmediato. En caso de que uses la misma en varias plataformas, cámbialas también; es muy común que los autores de malware intenten acceder a otros servicios web utilizando las credenciales robadas, por lo que te recomendamos usar una contraseña diferente (y fuerte) en cada una de tus cuentas.

Para evitar que tus cuentas de redes sociales resulten interceptadas, hay un par de cosas que debes tener en cuenta al descargar aplicaciones de terceros desde Google Play:

  • No ingreses tu información confidencial en formularios de acceso que no sean de confianza, pertenecientes a aplicaciones de terceros. Para comprobar si puedes confiar en una aplicación, mira la popularidad de su desarrollador: la cantidad de instalaciones, las calificaciones y, lo más importante de todo, el contenido de los comentarios. Recuerda que la calificación numérica no es suficiente para determinar que se trate de algo legítimo.
  • Cuando tengas dudas, elige las aplicaciones móviles de alta calidad marcadas como "Desarrollador destacado" o que figuren en la categoría de "Selección del editor".
  • Usa una solución de seguridad móvil confiable para proteger tu dispositivo.

Muestras

Nombre del paquete Cantidad de instalaciones Hash
com.vavetech.superapp 100,000 - 500,000 84E2A528571CE26735CC6EFE2F20D024F67B6F4F
com.instatakipcibegeni 100,000 - 500,000 F956C5ECFDB9939E98A3FEDEA877E2DAF91DA0CF
takipcivebegeni.app 100,000 - 500,000 E278821B390C3DD589A8B62E2CCA73E4AAFEEA98
com.tr.takdrfsfaewewe 10,000 - 50,000 470B9B632F4B66487010725CA84BC4923BFE5898
com.tr.instracker 1,000 – 5,000 BA5E2937C57726CC8CCFCBA4034F02D6DD5BBC17
com.tr.nsgrfllowers 1,000 – 5,000 F32C674DBA78A748256991A7DBB2409FDA0CF302
com.tr.sdfgbvcderfdf 1,000 – 5,000 80E0A0704D256A0D4A02AD894A6206D93010E554
com.tr.yfASTngdYRl 500 – 1,000 91CE430EA41F04C38EEB150F5E96928A0448263F
com.tr.insfollowfreeinsta 500 – 1,000 D73F268D46DDD3213B82DC288428701EA09FB949
com.tkpcikahramani 500 – 1,000 B5AE6DBF283E0ABA19A896395F86C83808026D68
com.tr.aerfhasFYHDJGXMS 500 – 1,000 2D0AFB6B4BBB9C04BE826CA119CD6368A32A1289
com.tr.aedgcawwwSSSjkm 100 - 500 1757E843C80533C5DC7CF0699BB1D55147FFB349
com.tr.aerfateharydar 0 - 5 E79050338EC9BBDC70DB8CAA4DC08EF3DAF0BA11