\n<\/aside>\n<\/p>\n
Los investigadores de seguridad han descubierto un raro hallazgo de malware: aplicaciones maliciosas de Android que utilizan el reconocimiento \u00f3ptico de caracteres para robar las credenciales que se muestran en las pantallas de los tel\u00e9fonos.<\/p>\n
El malware, denominado CherryBlos por los investigadores de la empresa de seguridad Trend Micro, se incrust\u00f3 en al menos cuatro aplicaciones de Android disponibles fuera de Google Play, espec\u00edficamente en sitios que promueven estafas para ganar dinero. Una de las aplicaciones estuvo disponible durante casi un mes en Google Play, pero no conten\u00eda la carga maliciosa CherryBlos. Los investigadores tambi\u00e9n descubrieron aplicaciones sospechosas en Google Play que fueron creadas por los mismos desarrolladores, pero tampoco conten\u00edan la carga \u00fatil.<\/p>\n
T\u00e9cnicas avanzadas<\/h2>\n Las aplicaciones tuvieron mucho cuidado en ocultar su funcionalidad maliciosa. Utilizaron una versi\u00f3n paga de un software comercial conocido como Jiagubao para cifrar el c\u00f3digo y las cadenas de c\u00f3digo para evitar el an\u00e1lisis que puede detectar dicha funcionalidad. Tambi\u00e9n presentaron t\u00e9cnicas para garantizar que la aplicaci\u00f3n permaneciera activa en los tel\u00e9fonos que la hab\u00edan instalado. Cuando los usuarios abrieron aplicaciones leg\u00edtimas para Binance y otros servicios de criptomonedas, CherryBlos superpuso ventanas que imitaban las de las aplicaciones leg\u00edtimas. Durante los retiros, CherryBlos reemplaz\u00f3 la direcci\u00f3n de la billetera que la v\u00edctima seleccion\u00f3 para recibir los fondos con una direcci\u00f3n controlada por el atacante.<\/p>\n
El aspecto m\u00e1s interesante del malware es su caracter\u00edstica rara, si no novedosa, que le permite capturar frases de contrase\u00f1a mnemot\u00e9cnicas utilizadas para obtener acceso a una cuenta. Cuando las aplicaciones leg\u00edtimas muestran frases de contrase\u00f1a en las pantallas de los tel\u00e9fonos, el malware primero toma una imagen de la pantalla y luego usa OCR para traducir la imagen a un formato de texto que se puede usar para asaltar la cuenta.<\/p>\n
\u201cUna vez otorgado, CherryBlos realizar\u00e1 las siguientes dos tareas: 1. Leer im\u00e1genes del almacenamiento externo y usar OCR para extraer texto de estas im\u00e1genes. [and] 2. Cargue los resultados de OCR en el servidor C&C a intervalos regulares\u201d, escribieron los investigadores.<\/p>\n
La mayor\u00eda de las aplicaciones relacionadas con la banca y las finanzas usan una configuraci\u00f3n que impide tomar capturas de pantalla durante transacciones confidenciales. CherryBlos parece eludir tales restricciones al obtener permisos de accesibilidad utilizados por personas con problemas de visi\u00f3n u otros tipos de discapacidades.<\/p>\n
Las b\u00fasquedas de instancias anteriores de malware que usa OCR resultaron vac\u00edas, lo que sugiere que la pr\u00e1ctica no es com\u00fan. Los representantes de Trend Micro no respondieron a un correo electr\u00f3nico preguntando si hab\u00eda otros ejemplos.<\/p>\n