El troyano bancario Cerberus se encontró en una aplicación de conversión de moneda después de que el mecanismo Play Protect de Google no pudo identificar la amenaza.
Se descubrió que el infame troyano bancario Cerberus robaba las credenciales bancarias de los usuarios a través de una aplicación de conversión de moneda española ( Calculadora de Moneda ) disponible en la tienda Google Play. La aplicación maliciosa ya se había descargado 10,000 veces desde marzo.
La aplicación de conversión de moneda plagada de desagradable Cerberus robaría los detalles de la cuenta bancaria de los usuarios y, además, omitiría todas las medidas de seguridad, incluidas las autenticaciones de dos factores. Antes de esto, Cerberus inculcó una capa de phishing por correo electrónico para extraer información de la tarjeta de crédito, credenciales bancarias y otra información confidencial pero confidencial.
Infiltrados de Cerberus que muestran capacidades de sigilo
El equipo de Mobile Threat Labs de Avast descubrió que la infiltración se realizó por etapas. El troyano bancario Cerberus, antes de comenzar cualquier actividad maliciosa, se disfrazaría como una aplicación genuina que seguiría las funcionalidades estándar durante semanas para ganar la confianza del usuario. El sigilo esquivó también al equipo Play Protect de Google .
A mediados de junio, la versión más reciente de la aplicación de conversión de moneda tenía un código de cuentagotas que, solo siguiendo las instrucciones del ‘servidor de comando y control’, se activaría y descargaría un paquete adicional de aplicaciones maliciosas de Android (APK) llamado banker-Cerberus. Esto se hace sin el conocimiento de la víctima.
Cerberus se sentaría sobre una aplicación bancaria existente y esperaría a que el usuario inicie sesión e ingrese sus credenciales. En este punto, el troyano bancario Cerberus se activa y crea una escala que roba toda su información. ‘El banquero’ también tiene acceso a los mensajes de texto de la víctima y opera fácilmente las autenticaciones de dos factores.
Las investigaciones adicionales de Avast revelan:
‘El servidor de C&C en cuestión y su carga útil de malware solo estuvieron activos durante la mayor parte de ayer, tiempo durante el cual, los usuarios de la aplicación de conversión de divisas estaban descargando el malware troyano bancario. Sin embargo, a partir de ayer por la noche, el servidor de comando y control había desaparecido y la aplicación de conversión de moneda en Google Play ya no contenía el malware troyano. Aunque esto fue solo un período corto, es una táctica que los estafadores utilizan con frecuencia para esconderse de la protección y la detección, es decir, limitar el intervalo de tiempo en el que se puede descubrir la actividad maliciosa.’
Curiosamente, Cerberus también puede deshabilitar la solución antivirus preinstalada de Google (Play Protect), que es lo que impidió su descubrimiento hasta ahora. Sin embargo, Avast ha notificado a Google sobre el malware bancario troyano.
Anteriormente, el troyano bancario Cerberus con sus funciones de espionaje y robo de credenciales se distribuía a través de kits de exploits, estafas de malware y correos electrónicos de phishing. La distribución luego cambió a través de Betabot y ahora a través de una aplicación móvil disponible en Google Play Store.
Cómo mantenerse a salvo de un troyano bancario:
En primer lugar, confirme que la aplicación que está utilizando se verifique en su banco respectivo. Si algo parece extraño o desconocido, comuníquese de inmediato con el equipo de servicio al cliente.
No brinde información confidencial en las redes sociales. Se puede acceder fácilmente.
En este caso particular, el malware se deslizó astutamente en la tienda Google Play, pero la carga se descargó de una fuente externa.
Para protegerse de esto, desactive inmediatamente la opción de descargar aplicaciones de fuentes desconocidas / no identificadas, esto impedirá que el troyano se active. Además de esto, preste atención a los permisos que solicita una aplicación recién descargada. La mayoría de nosotros concedemos acceso sin pestañear.