A lista de alvos inclui conhecidas apps financeiras e de comércio, transações de criptomoeda, bem como plataformas de social media e mensagens. Twitter, WhatsApp, Facebook, Amazon, Netlflix, Outlook, eBay, Coinbase, Plus500, Cash App e BBVA estão todas na lista.
“O website tem aspeto de ser autêntico. Para ser honesto, trata-se de uma cópia bem executada do website legítimo da Clubhouse. Contudo, após o utilizador clicar em ‘Get it on Google Play’, a app é descarregada automaticamente para o dispositivo do utilizador. Pelo contrário, websites legítimos redirecionariam sempre o utilizador para o Google Play, em vez de descarregarem diretamente um Android Package Kit, ou APK para abreviar,” comentou a respeito Lukas Stefanko, o investigador de malware da ESET responsável pela descoberta.
A ESET refere ainda que mesmo antes de se clicar no botão existem sinais de que algo está errado, como é caso disso a ligação não ser segura (HTTP em vez de HTTPS) ou o site utilizar o top-level domain “.mobi” em vez do “.com” usado pela app legítima. Outro sinal de aviso é que embora a Clubhouse esteja a planear uma versão Android da sua app para breve, a plataforma está apenas disponível neste momento para iPhone.