Investigadores de la empresa de seguridad digital Trend Micro han advertido sobre el uso de un curioso malware en 4 aplicaciones distribuidas en tiendas de Android no oficiales. El programa es conocido como CherryBlos.
Aunque no es el primero, CherryBlos utiliza una técnica poco común. Cuando un programa normal presenta en pantalla una clave de acceso, el malware realiza una captura, luego emplea un sistema de identificación para llevar la imagen a un formato de texto. Una vez que tiene la clave la utiliza para atacar las cuentas del usuario.
Por lo general este malware tiene como objetivo las aplicaciones de criptomonedas. Se hace pasar por ellas con pantallas que reemplazan las de los programas legítimos. Y se encarga de que los fondos que deberían ir a las billeteras virtuales de los usuarios lleguen a otras.
Permisos especiales
CherryBlos supera las restricciones que muchas aplicaciones bancarias utilizan contra las capturas de pantallas al obtener permisos de accesibilidad destinados a mejorar la experiencia de personas con algún tipo de discapacidad. Estos permisos también son claves para el monitoreo de la actividad de las aplicaciones legítimas que el malware intenta imitar.
Al iniciar la aplicación que actúa como caballo de Troya se le pide al usuario que se habiliten estas opciones.
Programas portadores
Las aplicaciones en las que el malware fue detectado son: GPTalk, Happy Miner, Robot 999 y SynthNet. Uno de los programas listados estuvo disponible en Google Play durante un mes, sin embargo, en ese entonces no contenía el software malicioso.
Una treintena de otras aplicaciones sospechosas creadas por los mismos desarrolladores están todavía en la tienda de Android. Aunque ninguna de ellas tiene, aún, el malware.