App que diz mostrar quem visitou seu perfil no Instagram rouba seus dados

A vontade de saber quem visualizou seus perfis nas redes sociais pode acabar se tornando uma arma de ataque hacker. De acordo com a Trend Micro, relatórios recentes mostram que tanto a Apple quanto o Google tiraram aplicativos populares de suas lojas online depois de descobrirem que eram de natureza maliciosa. Foi o caso do app InstaAgent. Tanto o Who’s Viewed Your Profile – InstaAgent do iOS quanto o Who View Me—InstaAgent no Google Play, apps que rastreavam quem visitou a sua conta no Instagram, foram retiradosdas lojas virtuais.

Ao contrário do que prometiam, os apps InstaAgent roubavam as credenciais dos usuários e enviam esses dados para um servidor remoto. Segundo a Trend Micro, as informações colhidas seriam usadas para sequestrar contas e postar imagens sem a permissão dos usuários. Além disso, o aplicativo conseguiu comprometer perto de um milhão de contas. Com quase um milhão de downloads na AppStore antes de sua remoção, os recursos anunciados do aplicativo aguçavam o interesse dos usuários, ganhando apoio suficiente para levá-lo ao topo da lista de aplicativos grátis no Reino Unido por quatro dias.

Foi também listado no topo das listas de downloads nos Estados Unidos, Canadá e Alemanha. O histórico mostra que essa não foi a primeira vez que grupos maliciosos usaram o mesmo golpe para transformar usuários de redes sociais em vítimas voluntárias.

No ano passado, um estudo mostrou que o golpe mais efetivo no Facebook se aproveitava da curiosidade dos usuários para saber quem viu seus perfis, sendo responsável por 30 % dos cliques maliciosos identificados infectando usuários. Criminosos cibernéticos também aproveitaram da popularidade: o aplicativo See Wh0 Viewed Y0ur Pr0file enganou os usuários, levando-os a conceder acesso a suas credenciais, enviando 6972 tuítes em questão de quinze minutos.

Golpes de clickjacking e de phishing envolvendo a mesma estratégia provaram ser eficazes. O clickjacking é o roubo de click, uma armadilha preparada para que o usuário pense que está fazendo uma ação num determinado site, mas na verdade os cliques executados estão sendo usados pelo atacante, para executar operações maliciosas.

Já o phishing é uma forma de fraude eletrônica, caracterizada por tentativas de adquirir dados pessoais de diversos tipos. A Trend Micro faz o alerta: até a data de hoje, não foi desenvolvido nenhum app legítimo e seguro que permita que usuários de mídia social vejam quem visualiza suas contas de mídia social. Salvo os relatórios de “ver perfil” do LInkedIn, sites e aplicações de mídia social não fornecem, nem suportam esse tipo de serviço.