Malware en cuatro apps de Android: ciberdelincuentes buscan robar contraseñas y criptomonedas

Los expertos en ciberseguridad del Servicio de Aplicaciones Móviles (MARS) de Trend Micro han descubierto una nueva variante de software malicioso ('malware') dirigida a dispositivos Android. Este 'malware' se involucra en actividades de minería de criptomonedas y estafas financieras, y ha sido bautizado como CherryBlos. 

Su primera aparición data de abril de 2023 y parece haberse difundido inicialmente a través de la plataforma Telegram. Se ha identificado en cuatro aplicaciones distintas para Android: GPTalk, Happy Miner, Robot 999 y SynthNet. 

CherryBlos tiene la capacidad de robar credenciales relacionadas con transacciones de criptomonedas y puede reemplazar las direcciones utilizadas para retirar fondos de las billeteras de criptomonedas.

Cautela con los permisos de las aplicaciones

Al igual que la mayoría de los troyanos bancarios modernos, CherryBlos requiere de permisos de accesibilidad para operar. Cuando el usuario abre la aplicación infectada, aparece una ventana emergente solicitando habilitar los permisos de accesibilidad. 

Esta táctica pretende robar las credenciales y los activos de las billeteras. Una de las técnicas empleadas por CherryBlos consiste en mostrar una falsa interfaz de usuario emergente al iniciar las aplicaciones oficiales. 

Además, el 'malware' verifica las aplicaciones de billetera instaladas en el dispositivo del usuario para mostrar una interfaz falsa cuando detecta actividad. Para lograr esto, CherryBlos utiliza el Servicio de Accesibilidad, un sistema que supervisa la actividad y, cuando la detecta, emplea StartActivity para lanzar las aplicaciones fraudulentas, con el objetivo de engañar a las víctimas y hacerlas ingresar sus credenciales de acceso. 

Una vez que las víctimas ingresan sus claves y confirman la acción, esta información se envía al servidor de C&C (mando y control). Otra estrategia utilizada por el 'malware' implica suplantar la interfaz de usuario para cambiar la dirección de retiro de criptomonedas, redirigiéndola a una aplicación legítima de Binance bajo el control de los ciberdelincuentes.

Los investigadores han señalado que CherryBlos identifica tres palabras clave durante la actividad: 'Retirar', 'Confirmar' y 'Enviar'. Una vez identificadas, el 'malware' utiliza el Servicio de Accesibilidad para descifrar otros elementos, como el tipo de moneda involucrada en la transacción. 

Después de superponer una interfaz fraudulenta sobre la aplicación infectada, se finaliza la compra de activos y se transfieren a una dirección controlada por el atacante.

El malware CherryBIos puede hacer capturas de pantalla

El malware CherryBIos tiene la capacidad de realizar capturas de pantalla. Este software malicioso, conocido como CherryBlos, no solo puede leer archivos multimedia almacenados en dispositivos externos, sino que también puede aprovechar la tecnología de reconocimiento óptico de caracteres (OCR) para identificar contraseñas mnemotécnicas utilizadas para acceder a cuentas. 

En otras palabras, cuando aplicaciones legítimas muestran frases de contraseñas en las pantallas de teléfonos, CherryBlos puede capturar una imagen de la pantalla y luego emplear el OCR para convertir el contenido visual en texto, lo cual puede ser utilizado para comprometer una cuenta.

A pesar de que la mayoría de aplicaciones vinculadas a la banca y las finanzas están configuradas para evitar la captura de pantallas durante transacciones confidenciales, este malware parece burlar estas restricciones. Esto se debe a que adquiere permisos de accesibilidad destinados a personas con discapacidades visuales, lo que le otorga la capacidad de eludir dichas barreras de seguridad.