El troyano Cerberus se oculta bajo la bandera del COVID-19

Desde el inicio de la pandemia del COVID-19, los ciberdelincuentes y los responsables de programas maliciosos han aprovechado el pánico generalizado, el miedo y la sed de información para desarrollar nuevas tácticas maliciosas e infectar los dispositivos de los usuarios.

Es lo que ha ocurrido con la variante «Corona-Apps.apk» del troyano bancario Cerberus. Corona-Apps.apk, que normalmente se propaga mediante campañas de suplantación, ahora aprovecha su similitud con el nombre real del virus para engañar a los usuarios que acaban instalándolo en sus teléfonos.

Este troyano se centra principalmente en robar información bancaria, como los números de las tarjetas de crédito. Además, puede emplear ataques superpuestos que engañan a las víctimas para que faciliten información personal y así poder recopilar datos de autenticación en dos pasos.
No se trata de un caso aislado, dado que ya se han detectado anteriormente vectores de infección similares.

Descubrir al troyano

La cadena de infección arranca cuando el usuario de un dispositivo descarga la aplicación desde la URL «hxxp://corona-apps[.]com/Corona-Apps.apk». Como no hay interfaz, lo más probable es que esta URL se use en otras plataformas e intentos de suplantación como un hipervínculo.

 

Figura 1: Sitio web vacío con un aviso del navegador

Después del primer aviso, el usuario recibe otro del sistema operativo sobre los peligros de instalar aplicaciones procedentes de fuentes desconocidas. Cuando el usuario continúa con el proceso de instalación, aparece la siguiente pantalla:


Figura 2: Aviso de instalación de «Corona-Apps.apk»

A diferencia de la versión anterior de Cerberus, esta no oculta su icono en la pantalla, pero bombardea al usuario con una notificación cada 10 segundos:


Figura 3: Notificación que solicita el permiso del servicio de accesibilidad y el aviso

Las solicitudes de notificación solo se detienen una vez que el usuario la desinstala o cuando concede el permiso del servicio de accesibilidad. Por si fuera poco, también pedirá permiso para acceder a las fotos, los contenidos multimedia y los contactos del dispositivo, así como para gestionar llamadas de teléfono y mensajes SMS.

Una vez que se hayan recibido los permisos, la aplicación comenzará a comunicarse con su centro de mando y control para informar de que un nuevo dispositivo se ha unido a la botnet, enviar datos sobre el dispositivo y descargar el archivo de carga RRoj.json.

Pasado un tiempo, quedará al descubierto el verdadero objetivo del troyano cuando un archivo de la base de datos SQLite llamado Web Data se guarde en el dispositivo y comience a recopilar y a filtrar datos de tarjetas de crédito almacenados:


Figura 4: El archivo de la base de datos que se usa para almacenar las credenciales y el contenido de la tabla «tarjetas_de_crédito»

Desinstalar Corona-Apps.apk

Una vez que la aplicación tiene pleno control del dispositivo, la única forma de eliminarla es forzar su detención y, después, desinstalarla. Si el usuario intenta desinstalarla directamente, se mostrará durante un segundo la ventana de desinstalación y después desaparecerá, sin que el usuario tenga tiempo de interactuar con ella.

A salvo ante una pandemia de software malicioso

Como conclusión, la búsqueda de información «de última hora» ha demostrado ser un anzuelo efectivo para los ciberdelincuentes y los intentos de suplantación de identidad. Pero a ti no tienen por qué engañarte. Te explicamos 4 pasos sencillos para aumentar tu seguridad en internet:

  1. Piensa antes de hacer clic. Esa nueva aplicación, sitio de noticias o panel pueden no ser exactamente lo que pensabas.
  2. Quédate en Play. Nunca descargues ni instales aplicaciones fuera de la plataforma oficial Google Play.
  3. Escucha. El dispositivo te avisará cuando instale una nueva aplicación.
  4. Instala una solución antivirus probada y acreditada. Avira Free Security te lo pone fácil y detecta este programa malicioso como ANDROID/Dropper.FRYX.Gen.

IOCs and technical information:

Distribution hxxps://corona-apps[.]com/Corona-Apps.apk
hxxp://corona-apps[.]com/Corona-Apps.apk
hxxps://corona-apps[.]com/
hxxp://corona-apps[.]com/
C&C botduke1.ug
Telegram t.me/botduke1
Payload
(SHA-256) 6A22EEA26C63F98763AA965D1E4C55A70D5ADF0E29678511CF303CB612395DF0
Sample
(SHA-256) 93288d18a7b43661a17f96955abb281e61df450ba2e4c7840ce9fd0e17ab8f77

Este artículo también está disponible en: InglésAlemánFrancésItalianoPortugués, Brasil