Uma investigação feita pela Meta, a empresa que é dona do Facebook e do Instagram, descobriu um esquema que envolvia centenas de aplicações nas lojas da Apple e da Google. A tecnológica diz que encontrou mais de 400 aplicações maliciosas, que aparentemente eram jogos, editores de foto ou VPN, mas que tinham afinal como objetivo aceder aos dados de login do Facebook.

A Meta explica que “partilhou esta descoberta com parceiros da indústria, investigadores de segurança e reguladores para ajudar a melhorar as defesas coletivas contra esta ameaça”. E, uma vez que estas aplicações estavam “acessíveis através de lojas de terceiros”, está a encorajar os utilizadores a “terem cautela quando descarregam uma nova aplicação que pede credenciais de acesso a redes sociais (…)”. A empresa diz que avisou tanto a Apple como a Google para as aplicações maliciosas que estavam disponíveis para os sistemas operativos iOS e Android.

Embora a comunicação da Meta não quantifique o número de utilizadores afetados, a Bloomberg estima que um milhão de pessoas podem ter tido os dados de acessos comprometidos no âmbito deste esquema.

PUB • CONTINUE A LER A SEGUIR

A empresa deixa alguns exemplos dos “disfarces” destas aplicações – editores de imagem, incluindo aqueles que deixam promessas de transformar o utilizador num ‘cartoon’, VPN que prometem navegação mais rápida e acesso a conteúdos bloqueados, utilitários como lanternas, jogos com gráficos 3D de alta qualidade, apps de saúde e horóscopos ou ainda aplicações para produtividade.

De acordo com os dados da Meta, uma boa fatia desta aplicações, cerca de 43%, eram editores de fotos, seguidas de apps para produtividade (15%) e utilitários para o telefone (14%). A grande maioria (355 apps) estavam disponíveis no Android e as restantes 47 no iOS.

Ao serem instaladas no smartphone, os utilizadores podiam receber um pedido de autorização para fazer login com o Facebook, antes de poderem usar a app. Quando o utilizador indicava as credenciais de acesso, o “malware” roubava o nome de utilizador e a palavra-passe.

A dona do Facebook deixa alguns conselhos sobre ações que os utilizadores podem tomar caso desconfiem que tenham descarregado uma destas aplicações. É encorajado que se remova imediatamente a aplicações e que alterem a palavra-passe. E, como habitual, a empresa lembra que os utilizadores não devem usar a mesma palavra-passe para vários serviços. É ainda encorajado que seja usada a autenticação de dois fatores (além de email e palavra-passe, é ainda pedido mais um fator, que pode ser um código enviado para o telefone, por exemplo).