{"id":750062,"date":"2023-07-29T14:11:31","date_gmt":"2023-07-29T14:11:31","guid":{"rendered":"https:\/\/magazineoffice.com\/el-malware-de-android-roba-las-credenciales-de-los-usuarios-mediante-el-reconocimiento-optico-de-caracteres\/"},"modified":"2023-07-29T14:11:35","modified_gmt":"2023-07-29T14:11:35","slug":"el-malware-de-android-roba-las-credenciales-de-los-usuarios-mediante-el-reconocimiento-optico-de-caracteres","status":"publish","type":"post","link":"https:\/\/magazineoffice.com\/el-malware-de-android-roba-las-credenciales-de-los-usuarios-mediante-el-reconocimiento-optico-de-caracteres\/","title":{"rendered":"El malware de Android roba las credenciales de los usuarios mediante el reconocimiento \u00f3ptico de caracteres"},"content":{"rendered":"<p> <br \/>\n<\/p>\n<div itemprop=\"articleBody\">\n<figure class=\"intro-image intro-left\"><figcaption class=\"caption\">\n<p>im\u00e1genes falsas<\/p>\n<\/figcaption><\/figure>\n<aside id=\"social-left\" class=\"social-left\" aria-label=\"Read the comments or share this article\">\n<\/aside>\n<p><!-- cache hit 63:single\/related:0708b9f5ec35f781d37c83c80559b7f6 --><!-- empty --><\/p>\n<p>Los investigadores de seguridad han descubierto un raro hallazgo de malware: aplicaciones maliciosas de Android que utilizan el reconocimiento \u00f3ptico de caracteres para robar las credenciales que se muestran en las pantallas de los tel\u00e9fonos.<\/p>\n<p>El malware, denominado CherryBlos por los investigadores de la empresa de seguridad Trend Micro, se incrust\u00f3 en al menos cuatro aplicaciones de Android disponibles fuera de Google Play, espec\u00edficamente en sitios que promueven estafas para ganar dinero.  Una de las aplicaciones estuvo disponible durante casi un mes en Google Play, pero no conten\u00eda la carga maliciosa CherryBlos.  Los investigadores tambi\u00e9n descubrieron aplicaciones sospechosas en Google Play que fueron creadas por los mismos desarrolladores, pero tampoco conten\u00edan la carga \u00fatil.<\/p>\n<h2>T\u00e9cnicas avanzadas<\/h2>\n<p>Las aplicaciones tuvieron mucho cuidado en ocultar su funcionalidad maliciosa.  Utilizaron una versi\u00f3n paga de un software comercial conocido como Jiagubao para cifrar el c\u00f3digo y las cadenas de c\u00f3digo para evitar el an\u00e1lisis que puede detectar dicha funcionalidad.  Tambi\u00e9n presentaron t\u00e9cnicas para garantizar que la aplicaci\u00f3n permaneciera activa en los tel\u00e9fonos que la hab\u00edan instalado.  Cuando los usuarios abrieron aplicaciones leg\u00edtimas para Binance y otros servicios de criptomonedas, CherryBlos superpuso ventanas que imitaban las de las aplicaciones leg\u00edtimas.  Durante los retiros, CherryBlos reemplaz\u00f3 la direcci\u00f3n de la billetera que la v\u00edctima seleccion\u00f3 para recibir los fondos con una direcci\u00f3n controlada por el atacante.<\/p>\n<p>El aspecto m\u00e1s interesante del malware es su caracter\u00edstica rara, si no novedosa, que le permite capturar frases de contrase\u00f1a mnemot\u00e9cnicas utilizadas para obtener acceso a una cuenta.  Cuando las aplicaciones leg\u00edtimas muestran frases de contrase\u00f1a en las pantallas de los tel\u00e9fonos, el malware primero toma una imagen de la pantalla y luego usa OCR para traducir la imagen a un formato de texto que se puede usar para asaltar la cuenta.<\/p>\n<p>\u201cUna vez otorgado, CherryBlos realizar\u00e1 las siguientes dos tareas: 1. Leer im\u00e1genes del almacenamiento externo y usar OCR para extraer texto de estas im\u00e1genes. [and] 2. Cargue los resultados de OCR en el servidor C&#038;C a intervalos regulares\u201d, escribieron los investigadores.<\/p>\n<p>La mayor\u00eda de las aplicaciones relacionadas con la banca y las finanzas usan una configuraci\u00f3n que impide tomar capturas de pantalla durante transacciones confidenciales.  CherryBlos parece eludir tales restricciones al obtener permisos de accesibilidad utilizados por personas con problemas de visi\u00f3n u otros tipos de discapacidades.<\/p>\n<p>Las b\u00fasquedas de instancias anteriores de malware que usa OCR resultaron vac\u00edas, lo que sugiere que la pr\u00e1ctica no es com\u00fan.  Los representantes de Trend Micro no respondieron a un correo electr\u00f3nico preguntando si hab\u00eda otros ejemplos.<\/p>\n<aside class=\"ad_wrapper\" aria-label=\"In Content advertisement\">\n    <span class=\"ad_notice\">Anuncio <\/span>    <\/p>\n<\/aside>\n<p>CherryBlos se incrust\u00f3 en las siguientes aplicaciones disponibles en estos sitios web:<\/p>\n<table border=\"1\" width=\"100%\" cellspacing=\"0\" cellpadding=\"1\">\n<tbody>\n<tr>\n<th style=\"text-align: center;\" scope=\"col\">Etiqueta<\/th>\n<th style=\"text-align: center;\" scope=\"col\">Nombre del paquete<\/th>\n<th style=\"text-align: center;\" scope=\"col\">dominio de phishing<\/th>\n<\/tr>\n<tr>\n<td style=\"text-align: center;\" width=\"154\" height=\"33\">GPDiscusi\u00f3n<\/td>\n<td style=\"text-align: center;\" width=\"154\">com.gptalk.wallet<\/td>\n<td style=\"text-align: center;\" width=\"154\">chatgptc[.]yo<\/td>\n<\/tr>\n<tr>\n<td style=\"text-align: center;\" width=\"154\" height=\"33\">minero feliz<\/td>\n<td style=\"text-align: center;\" width=\"154\">com.app.minero feliz<\/td>\n<td style=\"text-align: center;\" width=\"154\">minero feliz[.]com<\/td>\n<\/tr>\n<tr>\n<td style=\"text-align: center;\" width=\"154\" height=\"33\">Robot 999<\/td>\n<td style=\"text-align: center;\" width=\"154\">com.ejemplo.walljsdemo<\/td>\n<td style=\"text-align: center;\" width=\"154\">robot999[.]neto<\/td>\n<\/tr>\n<tr>\n<td style=\"text-align: center;\" width=\"154\" height=\"33\">SynthNet<\/td>\n<td style=\"text-align: center;\" width=\"154\">com.miner.synthnet<\/td>\n<td style=\"text-align: center;\" width=\"154\">sintetizador[.]ai<\/td>\n<\/tr>\n<\/tbody>\n<\/table>\n<p>\u201cComo la mayor\u00eda de los troyanos bancarios modernos, CherryBlos requiere permisos de accesibilidad para funcionar\u201d, escribieron los investigadores.  \u201cCuando el usuario abre la aplicaci\u00f3n, se mostrar\u00e1 una ventana de di\u00e1logo emergente que le pedir\u00e1 a los usuarios que habiliten los permisos de accesibilidad.  Tambi\u00e9n se mostrar\u00e1 un sitio web oficial a trav\u00e9s de WebView para evitar sospechas de la v\u00edctima\u201d.<\/p>\n<p>Una vez que la aplicaci\u00f3n maliciosa obtiene los permisos, los usa no solo para capturar im\u00e1genes de informaci\u00f3n confidencial que se muestra en las pantallas, sino tambi\u00e9n para realizar otras actividades nefastas.  Incluyen t\u00e9cnicas de evasi\u00f3n de defensa como (1) aprobar autom\u00e1ticamente las solicitudes de permiso al hacer clic autom\u00e1ticamente en el bot\u00f3n \u00abpermitir\u00bb cuando aparece un cuadro de di\u00e1logo del sistema y (2) devolver a los usuarios a la pantalla de inicio cuando ingresan a la configuraci\u00f3n de la aplicaci\u00f3n, posiblemente como un anti- desinstalaci\u00f3n o contingencia anti-kill.<\/p>\n<p>Las aplicaciones maliciosas tambi\u00e9n usan permisos de accesibilidad para monitorear cu\u00e1ndo se inicia una aplicaci\u00f3n de billetera leg\u00edtima.  Cuando se detecta, los usa para lanzar actividades falsas predefinidas.  El objetivo es inducir a las v\u00edctimas a completar sus credenciales.<\/p>\n<p>Los investigadores encontraron docenas de aplicaciones adicionales, la mayor\u00eda de las cuales estaban alojadas en Google Play, que usaban el mismo certificado digital o infraestructura de atacante que las cuatro aplicaciones de CherryBlos.  Si bien las 31 aplicaciones no conten\u00edan la carga maliciosa, los investigadores las marcaron de todos modos.<\/p>\n<p>\u201cAunque estas aplicaciones parecen tener una funcionalidad completa en la superficie, a\u00fan encontramos que exhiben un comportamiento anormal\u201d, escribieron.  \u201cEspec\u00edficamente, todas las aplicaciones son muy similares, con la \u00fanica diferencia del idioma aplicado a la interfaz de usuario, ya que se derivan de la misma plantilla de aplicaci\u00f3n.  Tambi\u00e9n descubrimos que la descripci\u00f3n de las aplicaciones en Google Play tambi\u00e9n es la misma\u201d.<\/p>\n<p>Los investigadores dijeron que Google elimin\u00f3 todas las aplicaciones que estaban disponibles en Play.  Una lista de esas aplicaciones est\u00e1 disponible aqu\u00ed.<\/p>\n<p>La investigaci\u00f3n es solo la \u00faltima en ilustrar la amenaza de las aplicaciones maliciosas.  No existe una panacea para evitar estas amenazas, pero algunas pr\u00e1cticas inteligentes pueden contribuir en gran medida a lograr ese objetivo.  Entre ellos:<\/p>\n<ul>\n<li>No descargue aplicaciones de sitios de terceros ni las transfiera a menos que sepa lo que est\u00e1 haciendo y conf\u00ede en la parte que controla el sitio.<\/li>\n<li>Lea las rese\u00f1as de las aplicaciones antes de instalarlas.  Tenga especial cuidado de buscar rese\u00f1as que afirmen que las aplicaciones son maliciosas.<\/li>\n<li>Revise cuidadosamente los permisos requeridos por la aplicaci\u00f3n, con especial atenci\u00f3n a las aplicaciones que buscan permisos de accesibilidad.<\/li>\n<\/ul>\n<p>\u201cEl actor de amenazas detr\u00e1s de estas campa\u00f1as emple\u00f3 t\u00e9cnicas avanzadas para evadir la detecci\u00f3n, como el empaquetado de software, la ofuscaci\u00f3n y el abuso del Servicio de Accesibilidad de Android\u201d, escribieron los investigadores.  \u201cEstas campa\u00f1as se han dirigido a una audiencia global y contin\u00faan representando un riesgo significativo para los usuarios, como lo demuestra la presencia continua de aplicaciones maliciosas en Google Play\u201d.<\/p>\n<\/p><\/div>\n<p><br \/>\n<br \/><a href=\"https:\/\/magazineoffice.com\/\">Source link-49<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"<p>im\u00e1genes falsas Los investigadores de seguridad han descubierto un raro hallazgo de malware: aplicaciones maliciosas de Android que utilizan el reconocimiento \u00f3ptico de caracteres para robar las credenciales que se&hellip;<\/p>\n","protected":false},"author":1,"featured_media":750063,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[21980],"tags":[11227,46560,39691,246,8,848,31586,24560,1341,3226,6512],"_links":{"self":[{"href":"https:\/\/magazineoffice.com\/wp-json\/wp\/v2\/posts\/750062"}],"collection":[{"href":"https:\/\/magazineoffice.com\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/magazineoffice.com\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/magazineoffice.com\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/magazineoffice.com\/wp-json\/wp\/v2\/comments?post=750062"}],"version-history":[{"count":1,"href":"https:\/\/magazineoffice.com\/wp-json\/wp\/v2\/posts\/750062\/revisions"}],"predecessor-version":[{"id":750064,"href":"https:\/\/magazineoffice.com\/wp-json\/wp\/v2\/posts\/750062\/revisions\/750064"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/magazineoffice.com\/wp-json\/wp\/v2\/media\/750063"}],"wp:attachment":[{"href":"https:\/\/magazineoffice.com\/wp-json\/wp\/v2\/media?parent=750062"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/magazineoffice.com\/wp-json\/wp\/v2\/categories?post=750062"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/magazineoffice.com\/wp-json\/wp\/v2\/tags?post=750062"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}