Falso Clubhouse para Android rouba credenciais de apps financeiros

O falso Clubhouse no Android copia informações de apps mensageiros, financeiros, de filmes e até exchange de criptomoedas

André Fogaça
• Atualizado há 3 anos
Clubhouse no iPhone (Imagem: André Fogaça/Tecnoblog)
Clubhouse no iPhone (Imagem: André Fogaça/Tecnoblog)

O Clubhouse ainda é um aplicativo exclusivo para usuários que estão em um iPhone, iPod Touch ou iPad, cenário que auxilia na criação de clones falsos para dispositivos Android. Uma destas opções fraudulentas é capaz de roubar dados e credenciais do usuário em mais de 400 outros apps e serviços que estão instalados dentro do mesmo dispositivo.

Este ataque foi descoberto e divulgado pelo pesquisador Lukas Stefanko, da empresa de segurança Eset. O falso aplicativo que promete o acesso para a rede social de voz instala um trojan chamado BlackRock e seu trabalho é capturar informações do usuário em 458 aplicativos diferentes, instalados no mesmo smartphone ou tablet Android.

O pesquisador aponta que a lista de alvos do trojan inclui acesso ao Twitter, WhatsApp, Facebook, Amazon, Netflix, Outlook, eBay, Coinbase, Plus500, Cash App, BBVA e Lloyds Bank.

Todo o chamariz para enganar o usuário começa por um site que se faz passar pelo Clubhouse, onde o usuário coloca seus dados para entrar na fila e poder receber o convite para acessar a rede social. De cara é possível notar algo estranho, já que a página oficial é terminada com “.com” e a falsa utiliza “.mobi”.

“O site é muito semelhante ao legítimo. Para ser franco, é uma cópia bem feita do site legítimo do Clubhouse. No entanto, assim que o usuário faz clique em “Adquira no Google Play”, o aplicativo será baixado automaticamente para o dispositivo do usuário. É importante ter em conta que sites legítimos sempre redirecionam o usuário para o Google Play em vez de baixar diretamente o Android Package Kit (APK),” comenta Stefanko.

Isso significa que, mesmo com o ícone tradicional para downloads pela Play Store, o arquivo baixado vem de um servidor dedicado e precisa da autorização do usuário para ser instalado por fora, o que não é recomendado.

Uma vez instalado, o falso Clubhouse captura os dados dos aplicativos listados com ajuda de uma camada de sobreposição que fica acima destes alvos. Ela pede os dados do login, que são salvos e enviados ao hacker pelo trojan. A nota da Eset ainda afirma que até as proteções com autenticação em dois fatores não garantem segurança, já que o BlackRock também fica de olho nas mensagens de texto.

Clubhouse pode levar meses para chegar ao Android

Não é de hoje que usuários do Android reclamam da ausência de seu sistema operacional móvel nas conversas do Clubhouse. Em uma entrevista com Bill Gates, um dos fundadores da rede social, Paul Davidson, disse: “Alguém perguntou, em outro dia, qual é o melhor recurso que nós estamos animados enquanto desenvolvemos e eu respondi: Android. É muito importante, especialmente no mercado internacional”.

No último domingo (21), Davidson comentou que a previsão de lançamento desta versão para o sistema operacional móvel do Google está marcada para “os próximos meses”. Neste meio tempo, o Twitter começou a liberar o Spaces para quem está no Android. O recurso é basicamente uma cópia das funções do próprio Clubhouse.

Paul Davidson afirma que o passo lento utilizado pela empresa para lançar a versão do Clubhouse para Android acontece justamente pelo número maior de usuários desta plataforma. Para ele, a área de sugestões para salas abertas pode crescer de forma negativa, tornando a atual experiência ainda pior.

Atualmente o aplicativo mostra mais salas com outros idiomas do que para a língua que o usuário fala – é o meu caso e isso fez meu interesse pela plataforma quase desaparecer. A solução proposta pelo próprio executivo envolve inserir sugestões mais personalizadas e mais filtros.

Mesmo assim, ainda não existe previsão para a chegada oficial do Clubhouse para smartphones e tablets Android.

Com informações: Eset e TechCrunch.

Leia | O que é o Clubhouse?

Relacionados

Escrito por

André Fogaça

André Fogaça

Ex-autor

André Fogaça é jornalista e escreve sobre tecnologia há mais de uma década. Cobriu grandes eventos nacionais e internacionais neste período, como CES, Computex, MWC e WWDC. Foi autor no Tecnoblog entre 2018 e 2021, e editor do Meio Bit, além de colecionar passagens por outros veículos especializados.