Usuarios de Android están recibiendo falsas invitaciones para Clubhouse que en realidad empujan a descargar un peligroso malware.
El crecimiento de Clubhouse y los deseos por obtener invitaciones han cogido tal volumen que era de esperar un movimiento similar por parte de los creadores de malware. En los últimos tiempos se han descubierto aplicaciones que simulan ser esta red social y troyanos escondidos en falsas invitaciones.
Antes de nada se debe aclarar que todavía no existe aplicación de Clubhouse para Android ni se espera que la haya en un par de meses, según informó uno de sus fundadores. Sabiendo esto, la primera reacción siempre debe ser desconfiar si se recibe una invitación para este sistema operativo.
Pero el volumen de ataques bajo esta estrategia es bastante elevado, según informan en TechRadar, tanto que no se puede calcular cuántos afectados hay. En ESET han descubierto varias webs que simulan ser Clubhouse con aplicaciones para Android que esconden un conocido troyano de nombre BlackRock.
Según Lukas Stefanko, investigador de ESET, la web «es una copia bien ejecutada del sitio oficial de Clubhouse. Sin embargo, una vez que el usuario haga clic en ‘Obtener en Google Play’, la aplicación se descargará automáticamente en el dispositivo. Al contrario de los sitios web legítimos, que siempre redirigen al usuario a Google Play, en lugar de descargar directamente un paquete de Android o APK para abreviar«.
Por lo que avisa de la segunda señal de alerta: lo normal es que la aplicación se descargue en Google Play, no directamente en una web.
Este troyano está listo para robar datos de otras aplicaciones, entre las que se incluyen algunas especialmente conocidas, como Twitter, WhatsApp, Facebook, Amazon, Netflix, Microsoft Outlook, eBay, BBVA… Además, también se avisa que tiene la capacidad de interceptar y analizar los SMS recibidos en el móvil, lo que le permite saltarse las autentificaciones en dos pasos de algunas aplicaciones.
El resumen es sencillo: de momento no existe aplicación de Clubhouse para Android, por lo que debes desconfiar de cualquier invitación que lo indique. Y cuando se lance esta app, descárgala únicamente en Google Play, nunca en una web cualquiera.