El troyano Android Cerberus ataca a entidades bancarias españolas
- Endpoint
La aplicación maliciosa utiliza el logo de Flash Player y su nombre, por lo que probablemente se propague en páginas web como una falsa actualización del reproductor. Además del robo de datos bancarios, el malware incluye funcionalidad para enviar los SMS y la agenda de contactos.
Desde su lanzamiento en junio de 2019, el malware bancario Cerberus ha ido creciendo en popularidad poco a poco. El hecho de que su popularidad vaya en aumento ha hecho que entidades bancarias españolas y latinoamericanas se hayan visto afectadas por este troyano, que en versiones anteriores había atacado a entidades francesas y a una japonesa. Entre las entidades afectadas se encuentran Santander, BBVA, Bankia, Cajamar, Banco Sabadell, Ibercaja y Univia.
Los desarrolladores de Cerberus no distribuyen las muestras para infectar a las víctimas, sino que venden el troyano en un foro underground para que sean sus clientes los que, a través de una herramienta automatizada, construyan el APK malicioso que distribuirán a sus víctimas. Es probable que la distribución del APK malicioso se haya realizado a través de páginas web fraudulentas.
Teniendo en cuenta que la aplicación maliciosa utiliza el logo de Flash Player como icono y su nombre, los investigadores de Hispasec determinan que probablemente se haya distribuido a través de una falsa web de videos que incita al usuario a instalar la aplicación como una falsa actualización del reproductor.
Una vez que el usuario instala la aplicación maliciosa y la inicia, ésta solicita al usuario que le de permisos de accesibilidad, los cuales permiten al malware recibir eventos generados por otras aplicaciones que se encuentren ejecutando en primer plano. Con esta información, el malware es capaz de detectar cuando una aplicación es iniciada por parte del usuario, y de esta forma mostrar una ventana falsa solicitando las credenciales de acceso a la entidad bancaria. Adicionalmente, los permisos de accesibilidad también son utilizados por este malware para protegerse y no ser desinstalado por el usuario.
Tras obtener los permisos de accesibilidad, este malware comienza la actividad maliciosa. La aplicación instalada realmente actúa a modo de ‘dropper’, ya que la funcionalidad de robo y envío de datos se realiza a través de un módulo descargado del servidor de control. Además del robo de datos bancarios, la aplicación maliciosa también incluye funcionalidad para enviar los SMS recibidos y la agenda de contactos. Para ello, guarda la lista de SMS y contactos en las preferencias compartidas de la aplicación y los envía posteriormente al servidor de control.
