'Malware' en Android: ciberdelincuentes usan nuevo 'virus' para robar datos y dinero

Este 'virus' está programado para obtener datos al momento de hacer transacciones.

Este malware puede provenir de mensajes de Telegram Foto: iStock

PERIODISTA31.07.2023 18:15 Actualizado: 31.07.2023 18:15

Comentar

Especialistas en ciberseguridad del Servicio de aplicaciones móviles (Mars) de Trend Micro han revelado la existencia de un nuevo y peligroso malware diseñado específicamente para dispositivos Android, conocido como CherryBlos. Esta amenaza ha sido vinculada a actividades relacionadas con la minería de criptomonedas y campañas de estafas financieras.

(Le recomendamos: Google estrena Play Store pensada en los dispositivos de pantallas grandes).

CherryBlos fue detectado por primera vez en abril de 2023 y se ha propagado inicialmente a través de la plataforma de mensajería Telegram. Este software malicioso se encuentra oculto en cuatro aplicaciones para Android: GPTalk, Happy Miner, Robot 999 y SynthNet.

(Además: Ciberdelincuentes crean versiones sin restricciones de ChatGPT para generar virus).

El objetivo principal de CherryBlos es robar credenciales asociadas a transacciones de criptomonedas. Para lograrlo, el malware solicita permisos de accesibilidad una vez que el abre la aplicación infectada. Una vez obtenidos los permisos, CherryBlos interactúa con un servidor de comando y control a través de conexiones HTTPS.

Perpetró su primer ataque el 26 de enero de 2004 y un mes después intentó afectar la página web de Microsoft. Foto:iStock

El malware emplea diversas técnicas para llevar a cabo sus ataques. Una de ellas consiste en mostrar interfaces de falsas cuando el inicia aplicaciones oficiales. Utiliza el Servicio de Accesibilidad, que monitorea la actividad del y lanza interfaces falsas cuando detecta la apertura de aplicaciones de billeteras.

Estas interfaces engañosas inducen a las víctimas a ingresar sus credenciales, que luego son enviadas al servidor de C&C.

Además, CherryBlos utiliza una técnica de suplantación de la interfaz de para modificar las direcciones de retiro de criptomonedas. De esta manera, las divisas son enviadas a aplicaciones legítimas de Binance controladas por los ciberdelincuentes.

El malware identifica tres palabras clave en la actividad del : 'Retirar', 'Confirmar' y 'Enviar'. Cuando las detecta, CherryBlos utiliza el Servicio de Accesibilidad para descifrar otros elementos, como el tipo de moneda utilizado en la transacción.

El malware se está propagando rápidamente en los sistemas. Foto:iStock

Luego, superpone una interfaz ilegítima a la aplicación original para completar la compra de activos, que son enviados a la dirección controlada por el atacante.

(Lea aquí: Buscar en ChatGPT gasta tres veces más energía que en el buscador de Google).

Una de las características más inquietantes de CherryBlos es su capacidad para utilizar el reconocimiento óptico de caracteres (OCR). Puede leer contraseñas mnemotécnicas que se muestran en las pantallas de las aplicaciones legítimas y convertirlas en texto, lo que permite a los atacantes obtener a cuentas protegidas por este tipo de contraseñas.

Es importante destacar que este malware parece eludir las restricciones que impiden tomar capturas de pantalla durante transacciones confidenciales. Esto es posible porque CherryBlos obtiene permisos de accesibilidad destinados a personas con problemas de visión.

Más noticias en EL TIEMPO

REDACCIÓN ALCANCE DIGITAL

*Este contenido fue hecho con la asistencia de una inteligencia artificial, basado en la información publicada en la agencia Europa Press, y contó con la revisión de un periodista y un editor.

Sigue toda la información de Tecnología en Facebook y X, o en nuestra newsletter semanal.