CherryBlos es un nuevo tipo de malware que emplea técnicas avanzadas para robar credenciales de los usuarios

Un smartphone Android infectado por malware / Imagen generada por la IA de Bing Image Creator

Un nuevo tipo de malware acecha a los usuarios de Android. En esta ocasión, ha sido descubierto fuera de Google Play y emplea una técnica de lo más peculiar para robar datos sensibles de los usuarios infectados. Ha sido bautizado por los investigadores que lo han descubierto como «CherryBlos», y se cree que los desarrolladores habrían intentado distribuir otras apps infectadas a través de la tienda de apps oficial de Android.

En el análisis, los investigadores de TrendMicro destacan la capacidad del malware de utilizar técnicas de reconocimiento óptico de caracteres (OCR) para obtener las credenciales del usuario al escribirlas en la pantalla del dispositivo.

Al menos cuatro aplicaciones con el malware han sido descubiertas

CherryBlos fue descubierto por los investigadores de TrendMicro al analizar una serie de aplicaciones distribuidas a través de canales externos a Google Play Store. Las apps se podían descargar a través de sitios que promovían estafas para ganar dinero.

Curiosamente, una de las aplicaciones infectadas había sido descubierta también en Google Play Store, proveniente del mismo desarrollador de la app infectada. Sin embargo, la versión de la tienda no contenía el código malicioso, aunque sí se descubrieron otras apps sospechosas dentro del catálogo de Google Play Store.

Lo que más ha llamado la atención de los investigadores es el funcionamiento del malware. Sus creadores utilizaron una versión de pago de un software capaz de cifrar el código para evitar que posibles análisis pudieran detectar la funcionalidad maliciosa.

Pese a ello, se pudo descubrir que las apps infectadas por CherryBlos utilizaban técnicas dirigidas a garantizar que la aplicación permaneciera activa en todo momento.

Así, cuando el usuario ejecutaba una aplicación de un servicio de venta y compra de criptomonedas, como Binance, el malware superponía sobre la pantalla una ventana simulando la aplicación legítima. No obstante, cuando los usuarios realizaban retiradas de fondos a sus billeteras, CherryBlos sustituía la dirección por la de una billetera controlada por el atacante.

Para poder funcionar, el malware aprovechaba los permisos de accesibilidad de Android, que otorgan a las aplicaciones la posibilidad de superponer ventanas sobre la pantalla sin que el usuario se dé cuenta de ello. Del mismo modo, se empleaban técnicas dirigidas a evitar que el usuario desinstalara la aplicación.

En total, se han descubierto cuatro aplicaciones con el malware CherryBlos en su interior. Son las siguientes:

  • GPTalk
  • Happy Miner
  • Robot 999
  • SynthNet

Todas ellas fueron descubiertas fuera de Google Play. Sin embargo, también se han encontrado otras apps sospechosas tanto en el catálogo de la tienda de aplicaciones de Android, aunque Google asegura haberlas eliminado tras recibir el aviso de TrendMicro.

Como siempre, los expertos recomiendan evitar recurrir a fuentes externas a Google Play a la hora de descargar las aplicaciones, así como asegurarse bien del tipo de permisos que se otorga a cada una de ellas.

Fuente info
Autor: Christian Collado

[su_divider]