Resumen de seguridad: nuevas apps falsas y una actualización de WordPress

Bienvenido a un nuevo resumen semanal de noticias, que incluye investigaciones sobre aplicaciones falsas en Google Play, fraudes que se aprovecharon del Día Internacional de la Mujer y una seria vulnerabilidad en WordPress.

Comencemos el repaso.

#1 Estas apps falsas en Google Play roban credenciales de Instagram

Investigadores de ESET descubrieron 13 aplicaciones falsas que estaban disponibles en Google Play, la tienda oficial para dispositivos Android. Aparentan ser herramientas para administrar o incrementar el número de seguidores en Instagram, pero en realidad roban credenciales de cuentas de esta red social.

Irónicamente, las cuentas robadas se utilizan para aumentar la cantidad de seguidores de otros usuarios que pagan por este servicio en determinadas webs que lo ofrecen. El siguiente esquema explica el funcionamiento de estas aplicaciones:

#2 Usuarios forzados a dejarle comentarios positivos a un troyano

También en Google Play, se descubrió un troyano que abre múltiples ventanas de publicidades y fue instalado por al menos 5.000 personas que creyeron que se trataba de una herramienta para descargar contenido de YouTube.

La aplicación, detectada por ESET como Android/Hiddad.BZ, abre una gran cantidad de molestas pantallas con anuncios publicitarios y le dice al usuario que los eliminará si este le da una calificación de cinco estrellas.

Sin embargo, estos incentivos no son más que promesas falsas y la app no tiene ninguna funcionalidad más allá de engañar al usuario para obtener una calificación positiva:

#3 Nueva versión de WordPress corrige seis fallas

Quienes administren sitios web basados en WordPress debieron actualizar su software de inmediato, ya que se reveló la existencia de seis agujeros de seguridad que podrían ser explotados por un atacante con fines maliciosos.

La nueva versión es la 4.7.3 y se publicó una advertencia indicando que los sitios no parcheados podrían ser vulnerables a varias amenazas, incluyendo ataques cross-site scripting y cross-site request forgery.

#4 Fraudes en el Día Internacional de la Mujer

Aprovechando que cada 8 de marzo se celebra el Día Internacional de la mujer, los cibercriminales se dieron a la tarea de disfrazar el envío fraudulento de mensajes de texto a números Premium, servicio que puede traducirse en altos costos económicos para su víctima si no se detecta y detiene a tiempo.

Un ejemplo de este comportamiento es el troyano SMS detectado por los productos de ESET como Android/TrojanSMS.Agent.BFK, que ofrece plantillas predeterminadas para mensajes SMS con felicitaciones a las mujeres; pero su uso ocasiona gastos que no siempre se explicitan adecuadamente.

#5 Ese osito de peluche podría estar espiándote

Debido a defectos de diseño y a una mala evaluación de riesgos, los ositos de peluche de CloudPet se pueden convertir en dispositivos de espionaje, ya que se encontraron cientos de miles de registros de clientes almacenados en la web, accesibles para todo el que sea lo suficientemente curioso como para buscarlos.

Además, dos millones de mensajes de voz grabados, muchos de los cuales son de contenido muy personal entre los niños y sus padres, quedaron expuestos durante un largo período, a pesar de las numerosas advertencias hechas a la empresa sobre este problema. En este contexto, el investigador de ESET Stephen Cobb analiza los problemas de seguridad y privacidad en juguetes IoT.

Si quieres estar siempre al tanto de las últimas novedades y tendencias de seguridad, puedes suscribirte a nuestro newsletter para recibirlas cada semana en tu bandeja de entrada.

Autor , ESET

Síguenos