O desenvolvedor do conhecido aplicativo de gerenciamento de senhas LastPass alertou que um aplicativo LastPass falso está sendo lançado na Apple App Store, que pode ser um aplicativo de phishing usado para roubar credenciais de usuários. O aplicativo falso usa um nome semelhante, ícones semelhantes e uma interface com tema vermelho ao aplicativo original, fazendo com que pareça muito próximo do design genuíno da marca.

No entanto, o nome deste aplicativo falso é “LassPass”, não “LastPass”, e seu editor é “ParvatiPatel”.

O aplicativo tem apenas uma avaliação e quatro avaliações alertando que é falso, enquanto o LastPass tem mais de 52 mil avaliações.

Como o LastPass é usado para armazenar informações muito confidenciais, como segredos de autenticação e credenciais (nome de usuário/e-mail e senha), é provável que o aplicativo tenha sido criado para atuar como um aplicativo de phishing e roubar credenciais.

O Squid não testou este aplicativo, portanto não estamos familiarizados com seu funcionamento interno, possíveis processos de phishing ou quaisquer outros detalhes sobre sua funcionalidade.

O verdadeiro LastPass alerta os clientes sobre o risco de perda de dados emitindo um aviso em seu site.

O aviso do LastPass diz: “Incluímos o URL do aplicativo fraudulento junto com um link para nosso aplicativo legítimo para que os clientes possam confirmar que estão baixando o aplicativo LastPass correto até que o aplicativo fraudulento seja removido. Tenha certeza de que o LastPass está trabalhando ativamente para derrubar este aplicativo o mais rápido possível e continuará monitorando clones fraudulentos de nossos aplicativos e/ou violações de nossa propriedade intelectual.

É extremamente raro que um aplicativo obviamente fraudulento apareça na Apple App Store devido ao rigoroso processo de revisão de aplicativos da Apple, que garante que o software na App Store atenda a altos padrões de privacidade, segurança e conteúdo.

O processo inclui verificações automatizadas e revisões manuais pelas equipes da Apple para garantir que os desenvolvedores sigam um conjunto detalhado de diretrizes. No entanto, de alguma forma, este clone do LastPass foi aceito.

Além disso, quando a Apple descobre que um aplicativo viola suas diretrizes, ela normalmente toma medidas rápidas, removendo-o da App Store e banindo o desenvolvedor. No entanto, no momento da publicação, o LastPass falso ainda existia na Apple App Store.

O mesmo desenvolvedor tem outro aplicativo aparentemente legítimo na AppStore, portanto, a possibilidade de sua conta ter sido invadida por agentes mal-intencionados não pode ser descartada.

Se você instalou um aplicativo LastPass falso, exclua-o imediatamente e altere sua senha em lastpass.com. Então, por motivos de segurança, é recomendável redefinir todas as senhas armazenadas no cofre do LastPass.