Análisis de amenazas

El troyano bancario Cerberus llegó a Google Play Store

Ondrej David, 8 julio 2020

Haciéndose pasar por una aplicación de conversión de moneda, está dirigida a usuarios en España y se descargó más de 10,000 veces

En los últimos días, nuestro equipo de Mobile Threat Labs en Avast descubrió un troyano bancario Cerberus en Google Play dirigido a usuarios de Android en España. Como es común con el malware bancario, Cerberus, se disfrazó como una aplicación genuina para acceder a los detalles bancarios de los usuarios desprevenidos. Lo que no es tan común es que un troyano bancario lograra colarse en Google Play Store. La aplicación 'genuina' en este caso, se hizo pasar por un convertidor de moneda español llamado "Calculadora de Moneda". Según nuestra investigación, ocultó sus intenciones maliciosas durante las primeras semanas mientras estaba disponible en la tienda. Posiblemente fue para adquirir sigilosamente usuarios antes de comenzar cualquier actividad maliciosa, lo que podría haber llamado la atención de los investigadores de malware o del equipo Play Protect de Google. Como resultado, la aplicación se ha descargado más de 10,000 veces hasta ahora. Lo informamos a Google, para que puedan eliminarlo rápidamente.

Las aplicaciones de troyanos bancarios operan de manera sigilosa para ganar la confianza de los usuarios y robar sus datos bancarios. Hay varias etapas en este proceso. La primera etapa implica la entrega de una aplicación, que generalmente parece actuar normalmente y tal vez incluso ofrece cierto grado de funcionalidad útil a los usuarios que la han descargado. Esto es para ganar su confianza y garantizar que se sientan cómodos manteniendo la aplicación en sus teléfonos. En este punto, la aplicación 'Calculadora de Moneda' no robó ningún dato ni causó ningún daño. De la investigación que Threat Labs ha llevado a cabo, esto es exactamente lo que sucedió cuando los usuarios comenzaron a descargar la aplicación de conversión de moneda en marzo de este año.

En este caso, esta aplicación benigna se convirtió en lo que se conoce como 'cuentagotas' en una etapa posterior. Los droppers son aplicaciones maliciosas que descargan silenciosamente otra aplicación en un dispositivo sin el conocimiento del usuario. Las versiones posteriores del convertidor de divisas incluían un 'código de cuentagotas' pero no se activó inicialmente, es decir, el servidor de comando y control (C&C) que indicaba que la aplicación no emitía ningún comando y, por lo tanto, los usuarios no verían ni descargarían el malware . Sin embargo, en los últimos días, Threat Labs notó que un 'servidor de comando y control' emitió un nuevo comando para descargar el Paquete de Aplicación de Android (APK) malicioso adicional: el banquero. 

En esta etapa final, la aplicación bancaria puede sentarse sobre una aplicación bancaria existente y esperar a que el usuario inicie sesión en su cuenta bancaria. En ese momento, el troyano malicioso se activa, crea una escala sobre su pantalla de inicio de sesión y roba todos los datos de acceso. El banquero también tiene el potencial de leer los mensajes de texto y detalles de autenticación de dos factores, lo que significa que puede eludir todas las medidas de seguridad. 

El servidor de C&C en cuestión y su carga útil de malware solo estuvieron activos durante la mayor parte del pasado lunes, durante ese tiempo, los usuarios de la aplicación de conversión de moneda estaban descargando el malware bancario troyano. Sin embargo, a partir de la noche del lunes, el servidor de comando y control había desaparecido y la aplicación de conversión de moneda en Google Play ya no contenía el malware troyano. Aunque esto fue solo un período corto, es una táctica que los estafadores utilizan con frecuencia para esconderse de la protección y la detección, es decir, limitar el intervalo de tiempo donde se puede descubrir la actividad maliciosa.

Diferentes versiones de la aplicación Currency Converter están presentes en nuestra plataforma Threat Intelligence, apklab.io (sitio en inglés).

Todos nuestros hallazgos han sido reportados a Google. 

Cómo puedes protegerte de los troyanos de banca móvil

Recomendamos a los usuarios que sigan los siguientes pasos para protegerse de los troyanos de banca móvil:

  • Confirmar que la aplicación que se está utilizando es una aplicación bancaria verificada. Si la interfaz parece desconocida o extraña, verifica con el equipo de atención al cliente del banco
  • Usa la autenticación de dos factores si tu banco lo ofrece como una opción.
  • Solo confía en tiendas de aplicaciones confiables, como Google Play o App Store de Apple. Aunque el malware se deslizó en Google Play, su carga útil se descargó de una fuente externa. Si desactivas la opción de descargar aplicaciones de otras fuentes, estarás a salvo de este tipo de troyano bancario que se activa en tu teléfono.
  • Antes de descargar una nueva aplicación, verifica las calificaciones de sus usuarios. Si otros usuarios se quejan de una mala experiencia de usuario, podría ser una aplicación a evitar.
  • Presta atención a los permisos que solicita una aplicación. Si crees que la aplicación está solicitando más de lo que promete entregar, trátalo como una bandera roja.
  • A menudo, el malware te pedirá que te conviertas en administrador del dispositivo para controlarlo. No otorgues este permiso a una aplicación a menos que sepas que esto realmente es necesario para que una aplicación funcione.
  • Usa una aplicación de seguridad como Avast Mobile Security que lo detecte y te proteja de las amenazas bancarias .

Lista de IoC:

  • Cuentagotas principal: aplicación Conversor de divisas que detectamos como cuentagotas activa:
    • C30ebf9fc47e6e12f4467e32bf1b3c055f99659c8c0395df4b3e7107591eb5fa
  • Cuentagotas C&C:
    • 23.106.124.183
  • Carga útil (banquero):
    • D89E08DB5AF347BE72F1307186638AAA062A8DE45A808F57DCE85BC83C94059E
  • Banquero C&C:
    • goldegrillz.top