Una nueva campaña de malware fue descubierta esta semana dentro de Spotify, una de las apps de streaming de música y podcasts más populares del mundo: ciberdelincuentes aprovechan la reputación y el alto ranking de la plataforma en Google, para distribuir enlaces maliciosos con virus que roban contraseñas e información sensible de los usuarios.
Estos links, camuflados en descripciones de podcasts y listas de reproducción, prometen descargas de software crackeado, e-books y monedas virtuales de juegos online, como Fortnite, o llevan a sitios falsos que capturan los datos bancarios de los visitantes.
Una de las funciones de Spotify permite crear listas de reproducción públicas que cualquier otro usuario puede ver y guardar en su perfil. Estas listas se indexan en Google y se pueden encontrar tanto desde dentro de la aplicación como desde el buscador. Los estafadores usan esto a su favor y arman listas con palabras clave específicas, como “descarga gratuita”, “crack” o “libros gratis”.
El objetivo principal de esta estafa es utilizar la reputación de confianza de Spotify y su visibilidad en los motores de búsqueda para conseguir que la gente haga click en los enlaces y visite los sitios web de los ciberdelincuentes. Al hacerlo, el usuario instalará en su dispositivo, sin darse cuenta y sin su consentimiento, diferentes tipos de virus, como adware, que llenarán el dispositivo de publicidad en popups omalware que capturará datos e información privada.
El engaño no se limita a las listas de reproducción. También se extiende a los podcasts. Los estafadores crean programas de audio con varios episodios breves, normalmente de menos de 20 segundos, que suelen estar dirigidos a usuarios que buscan libros electrónicos, audiolibros o trucos de juegos pirateados, y en los cuales tratan de convencer a los oyentes a hacer click en los enlaces de la descripción para obtener esos contenidos gratuitos.
