El desarrollador de la conocida aplicación de gestión de contraseñas LastPass ha advertido que se está lanzando una aplicación LastPass falsa en la App Store de Apple, que puede ser una aplicación de phishing utilizada para robar credenciales de usuario. La aplicación falsa utiliza un nombre similar, íconos similares y una interfaz con un tema rojo a la aplicación genuina, lo que la hace parecer muy parecida al diseño genuino de la marca.

Sin embargo, el nombre de esta aplicación falsa es "LassPass", no "LastPass", y su editor es "ParvatiPatel".

La aplicación tiene sólo una reseña y cuatro reseñas que advierten que es falsa, mientras que LastPass tiene más de 52.000 reseñas.

Dado que LastPass se utiliza para almacenar información muy confidencial, como secretos de autenticación y credenciales (nombre de usuario/correo electrónico y contraseña), es probable que la aplicación se haya creado para actuar como una aplicación de phishing y robar credenciales.

Squid no ha probado esta aplicación, por lo que no estamos familiarizados con su funcionamiento interno, posibles procesos de phishing ni ningún otro detalle sobre su funcionalidad.

El verdadero LastPass alerta a los clientes sobre el riesgo de pérdida de datos mediante la publicación de una advertencia en su sitio web.

La advertencia de LastPass dice: "Hemos incluido la URL de la aplicación fraudulenta junto con un enlace a nuestra aplicación legítima para que los clientes puedan confirmar que están descargando la aplicación LastPass correcta hasta que se elimine la aplicación fraudulenta. Tenga la seguridad de que LastPass está trabajando activamente para eliminar esta aplicación lo más rápido posible y continuará monitoreando clones fraudulentos de nuestras aplicaciones y/o infracciones de nuestra propiedad intelectual".

Es extremadamente raro que una aplicación tan obviamente fraudulenta aparezca en la App Store de Apple debido al riguroso proceso de revisión de aplicaciones de Apple, que garantiza que el software en la App Store cumpla con altos estándares de privacidad, seguridad y contenido.

El proceso incluye comprobaciones automáticas y revisiones manuales por parte de los equipos de Apple para garantizar que los desarrolladores cumplan con un conjunto detallado de pautas. Sin embargo, de alguna manera, este clon de LastPass fue aceptado.

Además, cuando Apple descubre que una aplicación infringe sus directrices, normalmente toma medidas rápidas eliminándola de la App Store y prohibiendo al desarrollador. Sin embargo, en el momento de la publicación, todavía existía un LastPass falso en la App Store de Apple.

El mismo desarrollador tiene otra aplicación aparentemente legítima en la AppStore, por lo que no se puede descartar la posibilidad de que su cuenta haya sido secuestrada por actores maliciosos.

Si instaló una aplicación LastPass falsa, debe eliminarla inmediatamente y cambiar su contraseña en lastpass.com. Luego, por razones de seguridad, se recomienda restablecer todas las contraseñas almacenadas en la bóveda de LastPass.