Sophos advierte a los usuarios de Android sobre un nuevo caso de malware que está siendo distribuido a través de la popular aplicación para compartir fotografías Instagram.
Tras el lanzamiento de la versión de Instagram para Android hace algo más de un mes y su posterior compra por parte de Facebook por mil millones de dólares, los criminales cibernéticos no han tardado en idear un método para ganar dinero a costa de los usuarios desprevenidos, que ya se cuentan en millones.
Así, estos amigos de lo ajeno han creado diversas versiones falsas de la aplicación Instagram para Android, para, así, si los propietarios de un dispositivo provisto con este sistema operativo descargan la aplicación a partir de alguna fuente no autorizada, en lugar de sitios oficiales, como es el caso de Google Android Marketplace; su teléfono inteligente quede infectado por malware.
Una vez instalada, la aplicación envía mensajes SMS a distintos servicios de tarificación adicional, lo que permite a sus creadores ganar dinero. Los productos de Sophos ya han detectado el software malicioso -bautizado como Andr/ Boxer-F-, el cuál ha sido distribuido a través de una página web rusa que se hace pasar por un sitio oficial de Instagram.
«El malware para Android se está convirtiendo en un problema cada vez mayor«, afirma Graham Cluley, Consultor Senior de Tecnología de Sophos. «La semana pasada, una versión falsa del popular juego Angry Birds Space corría por la web, y es muy probable que quién esté detrás de este malware también esté utilizando los nombres e imágenes de otras aplicaciones populares de teléfonos inteligentes como cebo. Los dispositivos con Android infectados son ahora efectivamente parte de una botnet bajo el control de hackers maliciosos. Los usuarios de Android tienen que ser extremadamente cuidadosos al descargar aplicaciones de sitios, sobre todo, cuándo éstos no se encuentren dentro de los mercados oficiales de Android»
¿Quién es ese hombre?
Curiosamente, el malware contiene un número aleatorio de fotos idénticas de un desconocido. En este sentido, Sophos cree que, tal vez la razón por la cual se incluye su imagen en repetidas ocasiones es para cambiar la huella digital de la APK, con la esperanza de que los rudimentarios escáneres de virus puedan ser engañados para no reconocer el paquete malicioso.
«Con la ayuda de los usuarios de Internet que fueron capaces de identificar la imagen, Sophos ha averiguado que ésta fue realizada durante la celebración de una boda en Moscú. El sujeto aparece vestido de forma más informal que el resto de los invitados», explica Cluley. «La foto del hombre se generalizó en los foros de Internet rusos, convirtiéndole en una celebridad. Sin embargo, no hay ninguna razón para creer, sin que él tenga algo que ver con el ataque de malware para Android».
La seguridad de Instagram en entredicho
La compra de Instagram por parte de Facebook ha generado numerosas incógnitas. En este sentido, una de las que más preocupa a los usuarios es el destino de los contenidos que ya han sido subidos a Instagram y, sobre todo, la privacidad de estos datos.
Según Sophos Naked Security algunos usuarios ya han mostrado su preocupación. Actualmente hay 30 millones de usuarios de Instagram, que en total publican al día 5 millones de instantáneas. “En este sentido, uno de los problemas que algunos usuarios de Instagram han planteado es la privacidad”, destaca Graham Cluley, “y de cómo sus fotos podrían utilizarse en el futuro. Después de todo, cuando subieron sus imágenes, pensaban que las estaban poniendo al cuidado de Instagram, no bajo la tutela del monstruo social que es Facebook”.
Esta preocupación, unida al hecho de que un apartado de la política de privacidad de Instagram concreta: «sujeto a cambios sin previo aviso», ha llevado a muchos usuarios a querer sacar sus imágenes de Instagram como medida de precaución, para incluirlas en un servicio similar. A este respecto Cluley expone que, “esta práctica, ésta lejos de ser efectiva. Cualquier servicio puede optar por seguir las prácticas análogas, como Facebook o ser adquiridos por ellos mañana. Si usted desea tener un control total de su información, mantenerla en ordenadores y servidores bajo su propio control, y sólo ponerlo a disposición de quien desee”.
Para la compañía de seguridad, la mejor manera de proteger los contenidos es no compartirlos a través de servicios en los que los usuarios no tienen el control sobre el almacenamiento de los contenidos.
Para más información, incluyendo imágenes, por favor visite el sitio web de Sophos Naked Security: http://nakedsecurity.sophos.com/2012/04/18/fake-instagram-app-android-malwar/
