Clubhouse: criminosos usam app falso no Android para coletar dados de usuários

Ainda não existe um aplicativo do Clubhouse para Android, mas pessoas mal intencionadas têm divulgado um app falso que finge ser o programa para coletar credenciais das vítimas. O golpe foi descoberto pelo pesquisador da ESET Lukas Stefanko e permite ao criminoso acessar informações de 458 serviços online.

• Clubhouse: tudo sobre a rede social para conversas por voz
• Clubhouse: chegou a vez do áudio nas redes sociais

A ação acontece por meio de um site que simula com bastante proximidade a página oficial do Clubhouse. A versão falsa usa o mesmo nome da original, mas com URL terminando com “.mobi” e não “.com”, como é na versão legítima.

Ao clicar no ícone do Google Play, o app é baixado automaticamente para o smartphone do usuário. Este é outro sinal de que algo está errado, já que as empresas geralmente direcionam o usuário para a página da loja oficial de apps do Android e não oferecem um APK diretamente para instalação.

Após a vítima abrir o arquivo, há a instalação do BlackRock, um tipo de trojan voltado a roubar as credenciais do usuário. O que este programa faz é criar uma tela em aplicativos abertos no celular com visual idêntico ao do app. Quando a vítima coloca os dados, por exemplo, login e senha, na verdade, está informando tais credenciais ao criminoso. Este é um movimento chamado de overlay attack.

Entre os programas aos quais a pessoa pode ter acesso estão Twitter, WhatsApp, Facebook, Amazon e Netflix. Além disso, o app golpista pede que a vítima habilite alguns serviços de acessibilidade que acabam por dar o controle do dispositivo para o criminoso.

Por conta disso, vale o alerta: ainda não existe um aplicativo oficial do Clubhouse para Android. Segundo o cofundador da empresa, Paul Davison, o programa ainda vai demorar alguns meses para chegar ao serviço do Google. Portanto, é preciso esperar para não ter seus dados comprometidos.

Fonte: ESET