Usuários do Instagram estão sendo alvos de novos aplicativos, à venda pelo Google Play, que tentam roubar credenciais dos internautas afirmando funcionarem como ferramentas para gerenciamento da rede social, ainda prometendo “novos seguidores”, de maneira rápida, após o download.
Leia também: Instagram Stories no computador? Veja como fazer para acessar app pelo Chrome
Uma investigação citada pelo site “It”, feita pela companhia de segurança Eset, aponta que pelo menos 13 aplicativos de cunho malicioso foram descobertos na loja oficial do Google Play detectados como Android/Spy.Inazigram. Os apps tinham como finalidade o "sequestro" das credenciais dos usuários do Instagram
e encaminhá-las para servidores remotos, em um comportamento semelhante às campanhas de phishing.
Embora pareçam ter sido originados na Turquia, alguns foram localizados em inglês, atingindo usuários da rede social de fotos em todo o mundo. Para se ter ideia, estes apps foram baixados por mais de 1,5 milhão de pessoas.
A investigação descobriu ainda que todos os aplicativos “sequestradores” empregaram a mesma técnica de colheita das credenciais no Insta, enviando tais informações para um servidor remoto.
Para atrair usuários a fazer o download, os apps prometiam aumentar rapidamente o número de seguidores, likes e comentários no perfil pessoal; mas, ironicamente, as contas comprometidas foram utilizadas para aumentar a contagem de seguidores de outras terceiras.
Leia também: YouTube começa a testar mudanças no design da tela de carregamento
Uma das características comuns entre todos os 13 aplicativos investigados é o requerimento de que as pessoas fizessem o login por meio de uma tela bastante semelhante ao do Insta. Assim, as informações preenchidas no formulário são enviadas para o servidor remoto. Depois de inserir suas informações pessoais, o usuário não consegue iniciar a sessão, sendo encaminhado para uma tela de erro com a mensagem de "senha incorreta".
A tela também apresenta uma nota sugerindo que o usuário visite o site oficial do Instagram e verifique sua conta para fazer login no aplicativo recentemente baixado. Como as vítimas são notificadas sobre uma tentativa não autorizada de fazer logon em seu nome e, portanto, existe uma solicitação para a verificação de sua conta logo que abrirem o Insta, a mensagem acaba diminuindo qualquer suspeita com antecedência. Caso a pessoa não perceba que se trata de um golpe, seus dados poderão ser utilizados a qualquer momento.
Leia também: Waze e Spotify integram seus serviços para facilitar experiência dos usuários
Segundo a publicação, após a investigação e alerta da Eset sobre os riscos aos usuários do Instagram e a privacidade de seus dados, todos foram removidos do Google Play.