Após os recentes incidentes de vazamentos envolvendo a empresa, agora a LastPass diz que foi descoberto um app LastPass falso na Apple App Store.
A LastPass está alertando que uma cópia falsa de seu aplicativo está sendo distribuída na Apple App Store, provavelmente usada como aplicativo de phishing para roubar credenciais de usuários.
Descoberto um app LastPass falso na Apple App Store
O aplicativo falso usa um nome semelhante ao aplicativo original, um ícone semelhante e uma interface com tema vermelho feita para parecer próxima ao design autêntico da marca.
No entanto, o nome do aplicativo falso é ‘LassPass’, em vez de ‘LastPass’, e tem como editor ‘Parvati Patel’.
Além disso, há apenas uma avaliação (o app real tem mais de 52 mil), com apenas quatro avaliações que alertam sobre ele ser falso.
Como o LastPass é usado para armazenar informações muito confidenciais, como segredos de autenticação e credenciais (nome de usuário/e-mail e senha), o aplicativo provavelmente foi criado para atuar como um aplicativo de phishing e roubar credenciais.
O BleepingComputer não testou o aplicativo, portanto, não estamos familiarizados com seu funcionamento interno, possível processo de phishing ou quaisquer outros detalhes sobre sua funcionalidade.
O verdadeiro LastPass alertou sobre a existência do aplicativo clone por meio de um alerta em seu site para chamar a atenção dos clientes para o risco de perda de dados.
“Incluímos o URL do aplicativo fraudulento, bem como o link para nosso aplicativo legítimo, para que os clientes possam verificar se estão baixando o aplicativo LastPass correto até que o aplicativo fraudulento seja removido”, diz o alerta do LastPass.
“Fique tranquilo, o LastPass está trabalhando ativamente para remover este aplicativo o mais rápido possível e continuará monitorando clones fraudulentos de nossos aplicativos e/ou violações de nossa propriedade intelectual.”
A inclusão de um aplicativo obviamente fraudulento na App Store da Apple é um caso muito raro, graças ao rigoroso processo de revisão de aplicativos da empresa, que garante que o software na App Store atenda a altos padrões de privacidade, segurança e conteúdo.
Este processo inclui verificações automatizadas e revisões manuais pela equipe da Apple para garantir a adesão a um conjunto detalhado de diretrizes que os desenvolvedores devem seguir. No entanto, de alguma forma, este clone do LastPass foi aceito.
Além disso, quando a Apple toma conhecimento de um aplicativo que viola suas diretrizes, normalmente age rapidamente para removê-lo da App Store e banir o desenvolvedor. No entanto, o LastPass falso continua disponível na Apple App Store no momento da publicação desta história.
O mesmo desenvolvedor tem outro aplicativo na App Store que parece legítimo, portanto, a possibilidade de sua conta ter sido invadida por agentes mal-intencionados não pode ser descartada.
Se você instalou o aplicativo LastPass falso, remova-o imediatamente e altere sua senha em lastpass.com. Em seguida, é aconselhável realizar a árdua tarefa de redefinir todas as senhas armazenadas em seu cofre LastPass para garantir a segurança.
O site BleepingComputer entrou em contato com a Apple sobre o aplicativo LastPass falso, mas não houve resposta imediata.