Este malware comenzó en Telegram y seguro afectó tu Android: te robará hasta las criptomonedas
Miles de usuarios de Android perdieron todo su dinero en criptomonedas por culpa de este troyano bancario.
Este troyano bancario se robará todas tus criptomonedas
Un nuevo malware está afectando a millones de dispositivos Android. Se trata de un troyano bancario que se distribuyó inicialmente a través de Telegram y que luego migró a otras aplicaciones del sistema operativo de Google. Lamentablemente, si te ataca, vaciará tus cuentas y se llevará hasta las criptomonedas que tienes en tu poder.
El mundo de las criptomonedas crece cada vez más, gracias al fomento que se les otorga en redes sociales y al trabajo que hacen los traders y mineros, entre otros tantos actores involucrados, para dar a conocer su profesión. Es por ello que, poco a poco, aumenta el número de personas que opta por comprar una criptomoneda para ahorrar en otra divisa que no sea su moneda local.
Pero estos activos podrían pasar a manos de ciberdelincuentes, por culpa de un malware que afecta a dispositivos Android, el cual luego de originarse en Telegram pasó a apps tales como GPTalk, Happy Miner, Robot 999 y SynthNet.
Este malware está en Android y te robará tus criptomonedas
Se trata de un malware diseñado para robar credenciales relacionadas con las transacciones de criptomonedas y que es capaz de reemplazar las direcciones utilizadas cuando se retiran activos de estas billeteras. Su nombre es CherryBlos y cada vez está teniendo mayor reputación.
Este troyano bancario requiere de permisos de accesibilidad para funcionar, de modo que cuando el usuario abre la aplicación infectada, se muestra una ventana de diálogo emergente que solicitará a los usuarios que habiliten los permisos de accesibilidad.
Para robar las credenciales o activos de las billeteras, CherryBlos emplea diferentes técnicas. Una de ellas es la de implementar una interfaz de usuario falsa emergente cuando se inician las aplicaciones oficiales. De hecho, comprueba las apps de billeteras que el usuario tiene instaladas en su dispositivo Android para lanzar una falsa cuando detecta actividad.
Para ello, utiliza el Servicio de accesibilidad, un sistema que monitoriza la actividad y que, cuando la detecta, utiliza StartActivity para lanzar las aplicaciones fraudulentas con el fin de inducir a las víctimas a introducir sus credenciales de acceso. Una vez las víctimas introducen sus claves y hacen clic sobre el botón ‘confirmar’, estas se transmiten al servidor de C&C.
El malware CherryBlos identifica tres palabras claves durante la actividad: ‘Retirar’, ‘Confirmar’ y ‘Enviar’. Una vez detectadas, utiliza el servicio de Accesibilidad para descifrar otros elementos, como el tipo de moneda utilizada en esa transacción. Después de superponer una interfaz ilegítima a la aplicación infectada, se completa la compra de activos y estos se transfieren a una dirección controlada por el atacante.
