O
Clubhouse
ainda é um aplicativo exclusivo para usuários que estão em um iPhone
, iPod Touch ou iPad, cenário que auxilia na criação de clones falsos para dispositivos Android
. Uma destas opções fraudulentas é capaz de roubar dados e credenciais do usuário em mais de 400 outros apps e serviços que estão instalados dentro do mesmo dispositivo.
Este ataque foi descoberto e divulgado pelo pesquisador Lukas Stefanko, da empresa de segurança Eset. O falso aplicativo que promete o acesso para a rede social de voz instala um trojan chamado BlackRock e seu trabalho é capturar informações do usuário em 458 aplicativos diferentes, instalados no mesmo smartphone ou tablet Android .
O pesquisador aponta que a lista de alvos do trojan inclui acesso ao Twitter, WhatsApp , Facebook, Amazon, Netflix, Outlook, eBay, Coinbase, Plus500, Cash App, BBVA e Lloyds Bank. Todo o chamariz para enganar o usuário começa por um site que se faz passar pelo Clubhouse , no qual o usuário coloca seus dados para entrar na fila e poder receber o convite para acessar a rede social . De cara é possível notar algo estranho, já que a página oficial é terminada com “.com” e a falsa utiliza “.mobi”.
“O site é muito semelhante ao legítimo. Para ser franco, é uma cópia bem feita do site legítimo do Clubhouse. No entanto, assim que o usuário faz clique em 'Adquira no Google Play', o aplicativo será baixado automaticamente para o dispositivo do usuário. É importante ter em conta que sites legítimos sempre redirecionam o usuário para o Google Play em vez de baixar diretamente o Android Package Kit (APK),” comenta Stefanko.
Isso significa que, mesmo com o ícone tradicional para downloads pela Play Store, o arquivo baixado vem de um servidor dedicado e precisa da autorização do usuário para ser instalado por fora, o que não é recomendado.
Uma vez instalado, o falso Clubhouse captura os dados dos aplicativos listados com ajuda de uma camada de sobreposição que fica acima destes alvos. Ela pede os dados do login, que são salvos e enviados ao hacker pelo trojan. A nota da Eset ainda afirma que até as proteções com autenticação em dois fatores não garantem segurança, já que o BlackRock também fica de olho nas mensagens de texto.