Una app de Google Play en español propagaba el malware Cerberus

Recomendados:  Educación sobre codificación segura Leer  5 consejos clave para pasar fácilmente a DevSecOps Webinar ondemand

Investigadores de Avast han descubierto una aplicación de Android maliciosa en Google Play que distribuye el troyano bancario Cerberus. Se trata de una aplicación de conversión de moneda, llamada Calculadora de Moneda, que ha estado disponible para los usuarios de Android en España desde marzo y que tiene más de 10.000 descargas. Una vez ejecutado, el malware tiene la capacidad de robar las credenciales de las cuentas bancarias de las víctimas y eludir las medidas de seguridad.

"Como es común con el malware bancario, Cerberus se disfrazó como una aplicación genuina para acceder a los detalles bancarios de los usuarios desprevenidos", señala Ondrej David, de Avast. "Lo que no es tan común es que un troyano bancario lograse colarse en la Google Play Store".

Para evitar la detección inicial, la aplicación ocultó sus intenciones maliciosas durante las primeras semanas mientras estaba disponible en Google Play. Durante este tiempo, la aplicación actuó normalmente como un convertidor legítimo y no robó ningún dato ni causó ningún daño. "Esto lo hice posiblemente para ampliar sigilosamente su base de usuarios antes de comenzar cualquier actividad maliciosa, lo que podría haber llamado la atención de los investigadores de malware o del equipo Play Protect de Google", apunta David.

A mediados de junio, las nuevas versiones del convertidor de divisas incluían lo que los investigadores llamaron un "código dropper", pero aún no estaba activado. El 1 de julio, la aplicación implementó una segunda etapa donde se convirtió en un dropper, descargando silenciosamente el malware en los dispositivos sin el conocimiento de las víctimas. La aplicación se conectó a un servidor de comando y control (C2), que emitió un nuevo comando para descargar el Paquete de Aplicación de Android (APK) malicioso adicional, Cerberus.

Cerberus tiene varias funciones de espionaje y robo de credenciales. Puede situarse sobre una aplicación bancaria existente y esperar a que el usuario inicie sesión en su cuenta bancaria. Luego, crea una capa supuerpuesta sobre la pantalla de inicio de sesión de las víctimas y les roba sus credenciales bancarias. Además, el troyano tiene la capacidad de acceder a los mensajes de texto de las víctimas, lo que significa que puede ver los códigos de autenticación de dos factores (2FA) enviados por SMS.

"La versión en Google Play actualmente ya no contiene el código dropper: la aplicación se actualizó con una nueva versión, que es benigna nuevamente", asegura Ondrej David. “Solo podemos especular por qué los actores de la amenaza están haciendo esto. Podría ser que estén probando diferentes opciones con esta aplicación, incluso si Google o investigadores externos de seguridad cibernética detectan el código malicioso”. Avast ha informado a Google.