Nuevo malware CherryBlos se integra en apps de Android
DestacadasOtros temas

Nuevo malware CherryBlos se integra en apps de Android

Investigadores descubrieron un nuevo malware integrado a Android, llamado CherryBlos, que usa reconocimiento óptico de caracteres para robar contraseñas de wallets de criptomonedas

Un equipo de investigadores ha descubierto un nuevo ‘malware’ integrado en aplicaciones para teléfonos Android, que recibe el nombre de CherryBlos y que utiliza el reconocimiento óptico de caracteres para robar credenciales.

Los especialistas en ciberseguridad del Servicio de aplicaciones móviles (MARS, por sus siglas en inglés) de Trend Micro han advertido una nueva familia de ‘malware’ para el sistema operativo de Google y que están involucradas en la minería de criptomonedas y campañas de estafas financieras.

CherryBlos, que apareció inicialmente en abril de 2023, se habría distribuido inicialmente a través de Telegram y estaría presente en cuatro aplicaciones diferentes para Android: GPTalk, Happy Miner, Robot 999 y SynthNet. Está diseñado para robar credenciales relacionadas con las transacciones de criptomonedas y que es capaz de reemplazar las direcciones utilizadas cuando se retiran activos de estas wallets.

Desde Trend Micro recuerdan que, como la mayoría de troyanos bancarios modernos, CherryBlos «requiere de permisos de accesibilidad para funcionar», de modo que cuando el usuario abre la aplicación infectada, se muestra una ventana de diálogo emergente que solicitará a los usuarios que habiliten los permisos de accesibilidad. Una vez ha obtenido estos permisos, CherryBlos solicita dos archivos de configuración al servidor de comando y control (C&C), una dirección que se almacena como una cadena de recursos, y la comunicación se produce a través de HTTPS.

Malware CherryBlos roba las contraseñas de los usuarios

Para robar las credenciales o activos de las billeteras, CherryBlos emplea diferentes técnicas. Una de ellas es la de implementar una interfaz de usuario falsa emergente cuando se inician las aplicaciones oficiales. De hecho, comprueba las apps de billeteras que el usuario tiene instaladas en su dispositivo para lanzar una falsa cuando detecta actividad.

Utiliza el Servicio de accesibilidad, un sistema que monitoriza la actividad y que, cuando la detecta, utiliza StartActivity para lanzar las aplicaciones fraudulentas con el fin de inducir a las víctimas a introducir sus credenciales de acceso. Una vez las víctimas introducen sus claves y hacen clic sobre el botón ‘confirmar’, estas se transmiten al servidor de C&C.

Otra técnica de robo que emplea supone la suplantación de la interfaz de usuario para modificar la dirección de retiro de divisas, con el fin de que vaya a una ‘app’ legítima de Binance controlada por los ciberdelincuentes.

El malware identifica tres palabras clave durante la actividad: ‘Retirar’, ‘Confirmar’ y ‘Enviar’. Una vez detectadas, el malware utiliza el servicio de Accesibilidad para descifrar otros elementos, como el tipo de moneda utilizada en esa transacción. Después de superponer una interfaz ilegítima a la aplicación infectada, se completa la compra de activos y estos se transfieren a una dirección controlada por el atacante.

Trend Micro también ha comentado que CherryBlos es capaz de leer archivos multimedia guardados en el almacenamiento externo y que puede utilizar el reconocimiento óptico de caracteres (OCR) para reconocer contraseñas mnemotécnicas utilizadas para obtener acceso a una cuenta. Es decir, que cuando las aplicaciones legítimas muestran frases de contraseña en las pantallas de los teléfonos, este software malicioso puede tomar una imagen de la pantalla y, después, utilizar OCR para traducir lo que aparece en ella a un formato de texto, que se puede utilizar para vulnerar la cuenta.

Tal y como recuerdan desde Ars Technica, la mayoría de aplicaciones relacionadas con la banca y las fianzas utilizan una configuración que impide tomar capturas de pantalla durante las transacciones confidenciales y que este malware parece eludir estas restricciones. Esto es posible porque obtiene permisos de accesibilidad utilizados por personas con problemas de visión.

Fuente: dpa

(Fuente imagen referencial: Unsplash, en colaboración con Getty Images)

Visita nuestro canal de noticias en Google News y síguenos para obtener información precisa, interesante y estar al día con todo. También en Twitter e Instagram puedes conocer diariamente nuestros contenidos

También podría gustarte
Destacadas

Precio del dólar BCV de este lunes 29 de abril

Destacadas

Coca-Cola y Microsoft firman acuerdo millonario sobre IA

Destacadas

Elon Musk prepara aplicación para ver videos

Destacadas

SPB: Jagi Caps con Panteras de Miranda y más equipos comenzaron colaboración

Destacadas

Proyecto de servicios aéreos con China fue aprobado por AN de Venezuela

Destacadas

Bancamiga ajustó a nuevos límites su Tarjeta de Débito

Más noticias

Wells Fargo desarrolla una stablecoin para uso interno

Honor Watch Magic hace su entrada al mercado

G7 llega a un acuerdo para la reforma del sistema fiscal