Cuidado con este nuevo malware que roba contraseñas y criptomonedas
Las problemáticas por estafas digitales cada vez se acrecientan más en la actualidad ante la presencia de nuevos virus y ataques que ponen en peligro la ciberseguridad de millones de usuarios, a pesar del constante desarrollo de nuevas tecnologías para frenarla y combatirla.
Es así el caso del temido CherryBlos, un nuevo malware que data de abril del presente 2023, que se destaca de manera negativa por robar en cuestión de segundos contraseñas y criptomonedas, así lo confirmaron especialistas en ciberseguridad del Servicio de aplicaciones móviles (MARS, por sus siglas en inglés) de la empresa Trend Micro.
Características de CherryBlos
El informe detalló que CherryBlos se propagó en principio mediante la plataforma Telegram y desde entonces ya se confirmó que está habitando por lo mínimo en cuatro aplicaciones diferentes para Android: GPTalk, Happy Miner, Robot 999 y SynthNet, caracterizándose por robar credenciales relacionadas con las transacciones de criptomonedas y que es capaz de reemplazar las direcciones utilizadas cuando se retiran activos de estas billeteras.
El nuevo malware emplea diferentes técnicas. Una de ellas es la de implementar una interfaz de usuario falsa emergente cuando se inician las aplicaciones oficiales, comprobando las diversas aplicaciones de billeteras digitales que el usuario tiene instaladas en su dispositivo para lanzar una falsa cuando detecta actividad.
CherryBlos utiliza el Servicio de accesibilidad, un sistema que monitoriza la actividad y que, cuando la detecta, utilizándo StartActivity para lanzar las aplicaciones fraudulentas con el fin de inducir a las víctimas a introducir sus credenciales de acceso. Otra técnica de robo es la suplantación de la interfaz de usuario para modificar la dirección de retiro de divisas, con el fin de que vaya a una app legítima de Binance controlada por los ciberdelincuentes.
También se destacó que identifica tres palabras clave durante la actividad: ‘Retirar’, ‘Confirmar’ y ‘Enviar’. Una vez detectadas, utiliza el servicio de Accesibilidad para descifrar otros elementos, como el tipo de moneda utilizada en esa transacción. Después de superponer una interfaz ilegítima a la aplicación infectada, se completa la compra de activos y estos se transfieren a una dirección controlada por el atacante.