Investigadores de seguridad de la empresa Trend Micro han dado la voz de alarma sobre un nuevo y extraño malware al que han denominado 'CherryBlos'.
Este se esconde en aplicaciones maliciosas de Android y se sirve del reconocimiento óptimo de caracteres (OCR) para robar las credenciales que se visualizan en las pantallas de los teléfonos móviles.
El código malicioso fue incrustado en al menos cuatro apps para la plataforma del robot que se podían encontrar fuera de Google Play, específicamente en sitios que promueven estafas para ganar dinero.
Una de estas herramientas estuvo durante casi un mes también en la tienda oficial de Android, aunque dicha versión no contenía la carga maliciosa. Además, los investigadores también descubrieron apps sospechosas en Google Play que fueron creadas por los mismos desarrolladores, pero tampoco contenían la carga útil.
Para pasar inadvertidas las apps tenían mucho cuidado en ocultar sus funcionalidades maliciosas. Los cibermalos usaron una versión de pago de un software comercial conocido como Jiagubao para cifrar el código y las cadenas de código para evitar el análisis que podía detectar dicha funcionalidad.
El dinero va a los cibermalos
Además, presentaron técnicas para garantizar que las apps permanecieran activas en aquellos teléfonos que las habían instalado. Al abrir aplicaciones legítimas para Binance y otros servicios de criptomonedas, CherryBlos superponía ventanas que imitaban dichas apps. En las retiradas de fondos, CherryBlos sustituyó la dirección de la billetera de la víctima por una controlada por el atacante, para recibir el dinero a su cuenta.
Desde Trend Micro aseguran que uno de los aspectos más interesantes y curiosos del malware es que permite capturar frases de contraseñas mnemotécnicas usadas para obtener acceso a una cuenta.
Cuando las apps legítimas exhiben frases de contraseñas en las pantallas de los teléfonos el malware primero toma una imagen de una pantalla y luego usa OCR para traducir la imagen a un formato de texto que se puede usar para asaltar la cuenta.
La mayoría de las aplicaciones relacionadas con la banca y las finanzas utilizan una configuración que impide tomar capturas de pantalla durante transacciones confidenciales. Sin embargo, CherryBlos parece eludir tales restricciones al obtener permisos de accesibilidad utilizados por personas con problemas de visión u otros tipos de discapacidades.