El malware móvil CherryBlos se esconde en aplicaciones falsas de Google Play

Los investigadores emitieron una advertencia con respecto a dos campañas de malware llamadas CherryBlos y FakeTrade, cuyo objetivo es apuntar a los usuarios de Android para el robo de criptomonedas y otras estafas con fines financieros. Los ciberdelincuentes detrás de estas campañas han estado distribuyendo el malware a través de aplicaciones falsas de Android en Google Play, plataformas de redes sociales y sitios web de phishing.

Trend Micro, en un informe reciente, reveló que sus investigadores habían descubierto recientemente ambas cepas de malware y habían notado que estaban utilizando la misma infraestructura de red y certificados de aplicación. Esto indica que el mismo actor de amenazas probablemente sea el responsable de ambas campañas.

CherryBlos se destaca por su capacidad de emplear reconocimiento óptico de caracteres (OCR) para leer frases mnemotécnicas en imágenes en dispositivos comprometidos y luego transmitir estos datos a su servidor de comando y control (C2). Estas frases mnemotécnicas se utilizan en criptomonedas para facilitar la recuperación o restauración de una billetera criptográfica. El actor de amenazas detrás de este malware no parece apuntar a una región específica sino a víctimas en todo el mundo. Reemplazan cadenas de recursos y cargan estas aplicaciones maliciosas en diferentes regiones de Google Play, incluidas Malasia, Vietnam, Filipinas, Indonesia, Uganda y México.

CherryBlos va tras las billeteras criptográficas

La campaña CherryBlos se enfoca en robar credenciales relacionadas con la billetera de criptomonedas y alterar la dirección de la billetera de una víctima durante los retiros. Para promocionar las aplicaciones falsas de Android que contienen el malware, el operador utiliza plataformas como Telegram, TikTok y X (anteriormente conocida como Twitter) para mostrar anuncios. Estos anuncios suelen dirigir a los usuarios a sitios de phishing que alojan las aplicaciones maliciosas. Algunas de las aplicaciones de Android falsas identificadas que contienen CherryBlos incluyen GPTalk, Happy Miner, Robot99 y SynthNet.

Al igual que otros troyanos bancarios para Android, CherryBlos requiere permisos de accesibilidad para funcionar. Estos permisos están diseñados para mejorar la usabilidad de los usuarios con discapacidades, habilitando funciones como leer el contenido de la pantalla en voz alta, automatizar tareas y brindar formas alternativas de interactuar con el dispositivo. Cuando un usuario abre la aplicación que contiene CherryBlos, una ventana emergente le pide que habilite los permisos de accesibilidad.

Una vez que CherryBlos está instalado en un dispositivo, recupera dos archivos de configuración de su C2 e implementa varios métodos para persistir y evitar los controles antimalware. Los mecanismos de persistencia del malware incluyen otorgar automáticamente solicitudes de permiso y redirigir a los usuarios a la pantalla de inicio cuando intentan acceder a la configuración de la aplicación.

En la campaña FakeTrade, el actor de amenazas usó al menos 31 aplicaciones falsas de Android para distribuir el malware. Muchas de estas aplicaciones tenían temas relacionados con las compras y afirmaban que los usuarios podían ganar dinero completando tareas o comprando créditos adicionales. Sin embargo, los usuarios que cayeron en esto no pudieron retirar sus ganancias más tarde. Aunque Google eliminó todas las aplicaciones falsas asociadas con la campaña FakeTrade de Play Store en 2021 y los primeros tres trimestres de 2022, el malware aún representa una amenaza importante para los usuarios de Android. Los ciberdelincuentes emplearon técnicas avanzadas de evasión, como el empaquetado de software, la ofuscación y la explotación del Servicio de Accesibilidad de Android.

En general, las campañas CherryBlos y FakeTrade han resaltado la necesidad de una vigilancia constante al usar dispositivos Android. Los usuarios deben tener cuidado al descargar aplicaciones y tener cuidado con las ofertas tentadoras que parecen demasiado buenas para ser verdad. Actualizar regularmente el software de seguridad y estar al tanto de los intentos de phishing puede ayudar a protegerse contra este tipo de campañas maliciosas.