LassPass, una app con malware, se ha colado recientemente en la App Store provocando un gran riesgo de filtrado de datos.
Por lo que si la has descargado, o crees poder haber sido víctima de la suplantación de identidad que le hicieron a LastPass, te aconsejamos que sigas leyendo este artículo donde te explicaremos cómo ha ocurrido esto y qué puedes hacer en caso de haber caído en el engaño.
Los ciberdelincuentes se saltan el filtro de la App Store
El caso de LassPass no es una excepción a la regla: y aunque en Android ha ocurrido también, no es la primera vez que se cuela una app con malware en la App Store: la primera fue una app de 2012 llamada Find and Call que bajo la inocua apariencia de un gestor de llamadas, se escondía una app que enviaba datos de tus contactos a su desarrollador para enviar SPAM.
LassPass es una aplicación más dentro de estas que tienen escondido algo más en su interior, pero que reviste de una gravedad especial ya que es un gestor de contraseñas… donde la gente suele almacenar desde correos hasta bancos, haciendo que peligre directamente nuestra integridad económica y nuestros datos personales.
Para lograr colar malware en la App Store, existen cuatro métodos distintos que pudieron haber sido explotados por los desarrolladores, aunque Apple no ha querido dar explicaciones de cómo ha ocurrido esta vez:
Ingeniería social: la “vieja confiable” para colar malware
Los desarrolladores malintencionados pueden utilizar técnicas de ingeniería social para engañar a los usuarios o a los revisores de la App Store. Y bajo este nombre algo rimbombante se esconde algo que conocemos todos en nuestro día a día: “engañar para obtener algo”.
En concreto, la ingeniería social aplicada a este caso podría implicar ocultar el comportamiento malicioso de la aplicación durante la revisión inicial, o incluso utilizar tácticas de manipulación psicológica para convencer a los revisores que es una app segura y a los usuarios de que instalen la aplicación.
Ofuscación de código y técnicas de la evasión de la detección: dejar el malware bien escondido
Los desarrolladores pueden ofuscar el código de la aplicación para dificultar su análisis y detección por parte de los sistemas de seguridad de la App Store. Esto puede hacer que sea más difícil para los revisores identificar el comportamiento malicioso durante el proceso de revisión.
Y aquí la inventiva delictiva humana no tiene límites: desde ir toqueteando el código de una app para que la sintaxis de la misma sea poco común (rollo llamar “pwd” a las “passwords”, es decir, las contraseñas), insertar instrucciones que no lleven a ningún sitio para despistar a los revisores y que no se centren en algo más que pueda haber por ahí, fragmentar el código de la app (partirlo en pedacitos interrelacionados para esconder algo ahí) o incluso introducir complejidades extras que busquen marear al revisor.
Explotación de vulnerabilidades: cada vez menor, pero plausible
Si hay una vulnerabilidad en el proceso de revisión de la App Store o en el sistema operativo subyacente, los desarrolladores maliciosos podrían explotar esta vulnerabilidad para que su aplicación pase desapercibida o para instalar código malicioso una vez que la aplicación esté en los dispositivos de los usuarios. Por esto mismo, siempre debes instalar las últimas actualizaciones de software disponibles.
Actualizaciones posteriores a la aprobación: colar el malware posteriormente
Esto ocurre cuando un desarrollador publica una app limpia, sin nada de código malicioso, pero en revisiones posteriores le añade algún malware en su interior.
Cuando los desarrolladores modifican el comportamiento de la aplicación después de que haya pasado la revisión inicial, esto puede dar lugar a situaciones problemáticas, ya que los revisores de la App Store pueden optar por no revisar a más profundidad los cambios que se le han hecho al código.
¿Cómo ha podido entrar LassPass a la App Store?
Si teorizamos un poquito, y dado como ha sido el fallo de seguridad, si tuviéramos que apostar por alguno de los métodos que os describimos seguramente me la jugaría a decir que ha podido ser una combinación de dos: ingeniería social y ofuscación del código.
Dado el parecido de LassPass con otro gestor legítimo de contraseñas, los ciberdelincuentes han podido intentar camuflar la app como una posible derivación de la misma, engañando así a los revisores humanos y virtuales de la App Store, con la conjunción de un código depurado que escondía el Caballo de Troya que había en su interior.
LassPass ha sido confundida con LastPass
LastPass, la víctima de esta suplantación, es un popular gestor de contraseñas en línea que permite a los usuarios almacenar de forma segura contraseñas y otra información confidencial, como números de tarjetas de crédito, notas seguras y datos de inicio de sesión, todo dentro de una bóveda cifrada con una única contraseña maestra.
Y creo que no hace falta ser muy listo para saber por qué escogieron esta y no otra aplicación para suplantar: el alto número de usuarios que tiene y su naturaleza, que esconde buena parte de las cuentas de los usuarios de varias webs y servicios, hace que sea una joya para todo usuario malintencionado que lo que desee es hacerse con datos sensibles.
Afortunadamente, LastPass detectó la suplantación y lo denunció a Apple, provocando que LassPass fuera retirada horas después y aunque ya la habían descargado algunas personas y el daño ya estaba hecho, gracias a esta acción se pudo prevenir que haya más usuarios incautos que hayan caído en el engaño.
Lo que ocurre si tienes instalada LassPass
Lo primero de todo es matizar: tener instalado solamente LassPass no hace nada malo, ya que no tiene un malware que infecte el teléfono. El problema está cuando la has abierto y usado, grabando tus datos en ella, ya que automáticamente el programa envía esos datos a un servidor propiedad del atacante, por lo que estarías dándole directamente el acceso directo a todas tus cuentas.
De todas formas, si tienes LassPass instalado, te aconsejamos que la borres, no sin antes revisar dentro las contraseñas que has introducido en la app para cambiarlas lo antes posible, antes de que lleguen a manos de un atacante.
Si has metido datos de tu cuenta bancaria, no está de más que se lo comuniques a tu entidad para que auditen la cuenta y la bloqueen temporalmente en caso de que detecten algún movimiento sospechoso o poco habitual.