El troyano bancario Cerberus se infiltró entre las apps de Google Play

Se descubrió una aplicación maliciosa de Android en el mercado de aplicaciones de Google Play que distribuye el troyano bancario Cerberus . La aplicación tiene 10.000 descargas. Los investigadores dijeron que el troyano se encontró en los últimos días, y que se estaba propagando a través de una aplicación de conversión de moneda española (llamada “Calculadora de Moneda”), […]

Se descubrió una aplicación maliciosa de Android en el mercado de aplicaciones de Google Play que distribuye el troyano bancario Cerberus . La aplicación tiene 10.000 descargas.

Los investigadores dijeron que el troyano se encontró en los últimos días, y que se estaba propagando a través de una aplicación de conversión de moneda española (llamada “Calculadora de Moneda”), que ha estado disponible para los usuarios de Android en España desde marzo. Una
vez ejecutado, el malware tiene la capacidad de robar las credenciales de la cuenta bancaria de las víctimas y eludir las medidas de seguridad, incluida la autenticación de dos factores (2FA).

“Como es común con el malware bancario, Cerberus se disfrazó como una aplicación genuina para acceder a los detalles bancarios de los usuarios desprevenidos”, dijo Ondrej David, de Avast, en un análisis reciente .”Lo que no es tan común es que un troyano bancario logró colarse en Google Play Store”.

Para evitar la detección inicial, la aplicación ocultó sus reales propósitos durante las primeras semanas mientras estaba disponible en Google Play. Durante este tiempo, la aplicación actuó normalmente como un convertidor legítimo y no robó ningún dato ni causó ningún daño, dijo
David.

“Esto fue posiblemente para adquirir sigilosamente usuarios antes de comenzar cualquier actividad maliciosa, lo que podría haber llamado la atención de los investigadores de malware o del equipo Play Protect de Google”, según David.

A mediados de junio, las versiones más recientes del convertidor de divisas incluían lo que los investigadores llamaron un “código de cuentagotas”, pero aún no estaba activado. Luego, el 1 de julio, la aplicación implementó una segunda etapa donde se convirtió en un cuentagotas, descargando silenciosamente el malware en dispositivos sin el conocimiento de las víctimas. La aplicación se conectó a un servidor de comando y control (C2), que emitió un nuevo comando para descargar el Paquete de Aplicación de Android (APK) malicioso adicional, Cerberus.

Cerberus tiene varias funciones de espionaje y robo de credenciales. Puede sentarse sobre una aplicación bancaria existente y esperar a que el usuario inicie sesión en su cuenta bancaria. Luego, crea una escala sobre la pantalla de inicio de sesión de las víctimas y les roba sus credenciales bancarias. Además, el troyano tiene la capacidad de acceder a los mensajes de texto de las víctimas, lo que significa que puede ver los códigos de autenticación de dos factores (2FA) enviados por mensaje.

“Utiliza la función de accesibilidad de Android, así como el mecanismo de ataque de superposición, que es típico de los troyanos bancarios, por lo que cuando un usuario abre su aplicación bancaria normal, se crea una pantalla superpuesta y se recopilan los datos de inicio de sesión del usuario”, dijo David a Threatpost.

Los investigadores dijeron que el servidor C2 y la carga útil asociados con la campaña estuvieron activos hasta el lunes de esta semana. Luego, el lunes por la noche, el servidor C2 desapareció y el convertidor de moneda en Google Play ya no contenía el malware troyano.

Avast ha notificado a Google sobre la aplicación maliciosa; Threatpost se ha comunicado con Google para obtener más comentarios sobre si la aplicación aún está disponible en Google Play.

“La versión en Google Play actualmente ya no contiene el código del cuentagotas: la aplicación se actualizó con una nueva versión, que es benigna de nuevo”, dijo David a Threatpost. “Solo podemos especular por qué los actores de la amenaza están haciendo esto. Podría ser que estén
probando diferentes opciones con esta aplicación, incluso si Google o investigadores externos de seguridad cibernética detectan el código malicioso. Hasta ahora, aún no hemos recibido una respuesta de Google “.