imágenes falsas
Los investigadores de seguridad han descubierto un raro hallazgo de malware: aplicaciones maliciosas de Android que utilizan el reconocimiento óptico de caracteres para robar las credenciales que se muestran en las pantallas de los teléfonos.
El malware, denominado CherryBlos por los investigadores de la empresa de seguridad Trend Micro, se incrustó en al menos cuatro aplicaciones de Android disponibles fuera de Google Play, específicamente en sitios que promueven estafas para ganar dinero. Una de las aplicaciones estuvo disponible durante casi un mes en Google Play, pero no contenía la carga maliciosa CherryBlos. Los investigadores también descubrieron aplicaciones sospechosas en Google Play que fueron creadas por los mismos desarrolladores, pero tampoco contenían la carga útil.
Técnicas avanzadas
Las aplicaciones tuvieron mucho cuidado en ocultar su funcionalidad maliciosa. Utilizaron una versión paga de un software comercial conocido como Jiagubao para cifrar el código y las cadenas de código para evitar el análisis que puede detectar dicha funcionalidad. También presentaron técnicas para garantizar que la aplicación permaneciera activa en los teléfonos que la habían instalado. Cuando los usuarios abrieron aplicaciones legítimas para Binance y otros servicios de criptomonedas, CherryBlos superpuso ventanas que imitaban las de las aplicaciones legítimas. Durante los retiros, CherryBlos reemplazó la dirección de la billetera que la víctima seleccionó para recibir los fondos con una dirección controlada por el atacante.
El aspecto más interesante del malware es su característica rara, si no novedosa, que le permite capturar frases de contraseña mnemotécnicas utilizadas para obtener acceso a una cuenta. Cuando las aplicaciones legítimas muestran frases de contraseña en las pantallas de los teléfonos, el malware primero toma una imagen de la pantalla y luego usa OCR para traducir la imagen a un formato de texto que se puede usar para asaltar la cuenta.
“Una vez otorgado, CherryBlos realizará las siguientes dos tareas: 1. Leer imágenes del almacenamiento externo y usar OCR para extraer texto de estas imágenes. [and] 2. Cargue los resultados de OCR en el servidor C&C a intervalos regulares”, escribieron los investigadores.
La mayoría de las aplicaciones relacionadas con la banca y las finanzas usan una configuración que impide tomar capturas de pantalla durante transacciones confidenciales. CherryBlos parece eludir tales restricciones al obtener permisos de accesibilidad utilizados por personas con problemas de visión u otros tipos de discapacidades.
Las búsquedas de instancias anteriores de malware que usa OCR resultaron vacías, lo que sugiere que la práctica no es común. Los representantes de Trend Micro no respondieron a un correo electrónico preguntando si había otros ejemplos.
CherryBlos se incrustó en las siguientes aplicaciones disponibles en estos sitios web:
| Etiqueta | Nombre del paquete | dominio de phishing |
|---|---|---|
| GPDiscusión | com.gptalk.wallet | chatgptc[.]yo |
| minero feliz | com.app.minero feliz | minero feliz[.]com |
| Robot 999 | com.ejemplo.walljsdemo | robot999[.]neto |
| SynthNet | com.miner.synthnet | sintetizador[.]ai |
“Como la mayoría de los troyanos bancarios modernos, CherryBlos requiere permisos de accesibilidad para funcionar”, escribieron los investigadores. “Cuando el usuario abre la aplicación, se mostrará una ventana de diálogo emergente que le pedirá a los usuarios que habiliten los permisos de accesibilidad. También se mostrará un sitio web oficial a través de WebView para evitar sospechas de la víctima”.
Una vez que la aplicación maliciosa obtiene los permisos, los usa no solo para capturar imágenes de información confidencial que se muestra en las pantallas, sino también para realizar otras actividades nefastas. Incluyen técnicas de evasión de defensa como (1) aprobar automáticamente las solicitudes de permiso al hacer clic automáticamente en el botón «permitir» cuando aparece un cuadro de diálogo del sistema y (2) devolver a los usuarios a la pantalla de inicio cuando ingresan a la configuración de la aplicación, posiblemente como un anti- desinstalación o contingencia anti-kill.
Las aplicaciones maliciosas también usan permisos de accesibilidad para monitorear cuándo se inicia una aplicación de billetera legítima. Cuando se detecta, los usa para lanzar actividades falsas predefinidas. El objetivo es inducir a las víctimas a completar sus credenciales.
Los investigadores encontraron docenas de aplicaciones adicionales, la mayoría de las cuales estaban alojadas en Google Play, que usaban el mismo certificado digital o infraestructura de atacante que las cuatro aplicaciones de CherryBlos. Si bien las 31 aplicaciones no contenían la carga maliciosa, los investigadores las marcaron de todos modos.
“Aunque estas aplicaciones parecen tener una funcionalidad completa en la superficie, aún encontramos que exhiben un comportamiento anormal”, escribieron. “Específicamente, todas las aplicaciones son muy similares, con la única diferencia del idioma aplicado a la interfaz de usuario, ya que se derivan de la misma plantilla de aplicación. También descubrimos que la descripción de las aplicaciones en Google Play también es la misma”.
Los investigadores dijeron que Google eliminó todas las aplicaciones que estaban disponibles en Play. Una lista de esas aplicaciones está disponible aquí.
La investigación es solo la última en ilustrar la amenaza de las aplicaciones maliciosas. No existe una panacea para evitar estas amenazas, pero algunas prácticas inteligentes pueden contribuir en gran medida a lograr ese objetivo. Entre ellos:
- No descargue aplicaciones de sitios de terceros ni las transfiera a menos que sepa lo que está haciendo y confíe en la parte que controla el sitio.
- Lea las reseñas de las aplicaciones antes de instalarlas. Tenga especial cuidado de buscar reseñas que afirmen que las aplicaciones son maliciosas.
- Revise cuidadosamente los permisos requeridos por la aplicación, con especial atención a las aplicaciones que buscan permisos de accesibilidad.
“El actor de amenazas detrás de estas campañas empleó técnicas avanzadas para evadir la detección, como el empaquetado de software, la ofuscación y el abuso del Servicio de Accesibilidad de Android”, escribieron los investigadores. “Estas campañas se han dirigido a una audiencia global y continúan representando un riesgo significativo para los usuarios, como lo demuestra la presencia continua de aplicaciones maliciosas en Google Play”.