{"id":1516,"date":"2019-09-24T19:52:47","date_gmt":"2019-09-24T19:52:47","guid":{"rendered":"http:\/\/blogs.uo.edu.cu\/seginf\/?p=1516"},"modified":"2019-09-24T20:07:23","modified_gmt":"2019-09-24T20:07:23","slug":"cerberus-reciente-malware-bancario-para-android","status":"publish","type":"post","link":"https:\/\/blogs.uo.edu.cu\/seginf\/?p=1516","title":{"rendered":"Cerberus, reciente malware bancario para Android."},"content":{"rendered":"

\n\t\"\"<\/a>Cerberus, el reciente malware bancario para Android, afecta ahora a entidades bancarias españolas y latinoamericanas.\n<\/p>\n

\n\tSus desarrolladores no distribuyen las muestras para infectar a las víctimas, sino que venden el troyano en un foro ‘underground’ para que sean sus clientes los que, a través de una herramienta automatizada, construyan el APK malicioso que distribuirán a sus víctimas.\n<\/p>\n

\n\t\n<\/p>\n

\n\tEste troyano tiene su propia cuenta de Twitter (https:\/\/twitter.com\/androidcerberus<\/a>), en la que sus desarrolladores publican las novedades incluidas en las nuevas versiones e incluso bromean con los analistas de malware más conocidos de la comunidad.\n<\/p>\n

\n\tEl hecho de que su popularidad vaya en aumento ha hecho que en la muestra detectada este miércoles se encuentren entidades bancarias españolas y latinoamericanas afectadas por primera vez. En pasadas versiones se habían descubierto entidades francesas y una japonesa.\n<\/p>\n

\n\tPropagación<\/strong>\n<\/p>\n

\n\tTal y como suele ser habitual con este tipo de malware<\/em>, es probable que la distribución del APK malicioso se haya realizado a través de páginas web fraudulentas.\n<\/p>\n

\n\tTeniendo en cuenta que la aplicación maliciosa utiliza el logo de ‘Flash Player<\/em>’ como icono y su nombre, probablemente se haya distribuido a través de una falsa web de videos que incita al usuario a instalar la aplicación como una falsa actualización de su reproductor.\n<\/p>\n

\n\tInfección<\/strong>\n<\/p>\n

\n\tUna vez que el usuario instala la aplicación maliciosa y la inicia por primera vez, ésta solicita al usuario que le de permisos de accesibilidad. Estos permisos permiten al malware<\/em> recibir eventos generados por otras aplicaciones que se encuentren ejecutando en primer plano.\n<\/p>\n

\n\tLos permisos de accesibilidad se utilizan habitualmente para que ciertas aplicaciones proporcionen una mejor experiencia de usuario en caso de que el usuario tenga, por ejemplo, problemas de visión. De esta forma, estas aplicaciones pueden proporcionar funcionalidades de lectura del texto de la pantalla.\n<\/p>\n

\n\tEl motivo por el cual la aplicación maliciosa necesita este permiso es que le permite recibir eventos generados por la aplicación que se encuentra ejecutándose en primer plano, incluyendo el nombre de paquete de dicha aplicación. Con esta información, el malware<\/em> es capaz de detectar cuando una aplicación es iniciada por parte del usuario, y de esta forma mostrar una ventana falsa solicitando las credenciales de acceso a la entidad bancaria.\n<\/p>\n

\n\tAdicionalmente, los permisos de accesibilidad también son utilizados por este malware<\/em> para protegerse y no ser desinstalado por el usuario. Los servicios de accesibilidad pueden simular eventos (toques en la pantalla, pulsación de botones, etc.), por lo que el malware<\/em> detecta si el usuario está navegando por los ajustes del sistema e intentando desinstalar el troyano. En caso de que esto ocurra, la aplicación maliciosa envía eventos para salir de los ajustes y evitar su desinstalación.\n<\/p>\n

\n\tTras obtener los permisos de accesibilidad, este malware<\/em> comienza la actividad maliciosa. La aplicación instalada realmente actúa a modo de ‘dropper’<\/em>, ya que la funcionalidad de robo  y envío de datos se realiza a través de un módulo descargado del servidor de control. Podemos distinguir dos etapas:\n<\/p>\n

    \n
  1. \n\t\tLa aplicación ‘dropper<\/em>’ desempaqueta un fichero .DEX que implementa una primera etapa encargada de comprobar el estado del dispositivo infectado, registrarlo en el servidor de control y descargar el módulo malicioso.\n\t<\/li>\n
  2. \n\t\tDescarga del módulo malicioso (a través de la URL: http:\/\/[DOMINIO]\/gate.php?action=getModule&data=[DATOS_DISPOSITIVO_CIFRADOS]. El módulo malicioso se trata de un fichero APK, aunque no se instala la aplicación en el dispositivo. En su lugar, el ‘dropper<\/em>’ cargará dinámicamente las clases necesarias del APK. Este módulo incluye la funcionalidad necesaria para descargar y mostrar las inyecciones para cada entidad. Además incluye el resto de funciones de robo de datos que se explicarán a lo largo de este documento.\n\t<\/li>\n<\/ol>\n

    \n\tFuncionalidades para el robo de datos<\/strong>\n<\/p>\n

    \n\tPara el robo de credenciales bancarios, este troyano bancario sigue el mismo esquema de funcionamiento que el resto de troyanos bancarios, inyecciones basadas en ‘overlays’<\/em>. El uso de ‘overlays’<\/em> es probablemente la técnica más efectiva, y quizá por ello la preferida por los atacantes, para el robo de credenciales bancarias en Android.\n<\/p>\n

    \n\tUna vez que la aplicación maliciosa contacta con el servidor para registrar el dispositivo, ésta envía la lista completa de aplicaciones instaladas. Como respuesta, el servidor de control responde con la lista de aplicaciones afectadas de entre todas las aplicaciones instaladas.\n<\/p>\n

    \n\tPetición al servidor de control para enviar la lista de aplicaciones instaladas\n<\/p>\n

    \n\tComo respuesta, la aplicación recibe una lista de aplicaciones afectadas de entre las instaladas. Una vez que la aplicación recibe esta lista de entidades afectadas, ésta se encarga de descargar una a una las inyecciones de cada aplicación afectada. Una vez descargada la inyección, se guarda para mostrarla posteriormente.\n<\/p>\n

    \n\tComo suele ser habitual en el malware bancario para Android, las inyecciones de Cerberus también están realizadas utilizando HTML y JavaScript. De esta forma, lo que descarga el malware no es más que un fichero HTML que mostrará posteriormente utilizando una ‘WebView’<\/em>.\n<\/p>\n

    \n\tPara mostrar la ‘WebView<\/em>‘ con la falsa web solicitando los datos de usuario, esta aplicación se instala solicitando al usuario que le dé permisos de accesibilidad. Estos permisos le permiten recibir eventos en un servicio ejecutando en segundo plano cada vez que el usuario abre un aplicación o realiza alguna acción en la aplicación.\n<\/p>\n

    \n\tAl recibir estos eventos, la aplicación maliciosa recibe información sobre la aplicación que se está ejecutando en primer plano. Esta funcionalidad es utilizada para determinar si la aplicación en ejecución es alguna de las afectadas. En caso de ser así, el troyano abrirá una nueva actividad con la ‘WebView’<\/em> y la web de phishing<\/em>.\n<\/p>\n

    \n\tComo se puede observar en la imágenes, todas las peticiones se realizan a una URL con la estructura “http:\/\/[DOMINIO]\/gate.php?action=[COMANDO]&data=[DATOS CIFRADOS]”. El valor del parámetro ‘action’ para el envío de las credenciales robadas es ‘sendInjectLogs<\/em>’, y en el parámetro ‘data’ se envía cifrado el identificador del paquete correspondiente a la entidad afectada y las credenciales de acceso.\n<\/p>\n

    \n\tAdemás del robo de datos bancarios, la aplicación maliciosa también incluye funcionalidad para enviar los SMS recibidos y la agenda de contactos. Para ello, guarda la lista de SMS y contactos en las preferencias compartidas de la aplicación y los envía posteriormente al servidor de control.\n<\/p>\n

    \n\tCifrado de peticiones<\/strong>\n<\/p>\n

    \n\tComo se ha comentado anteriormente, este malware implementa un algoritmo de cifrado que evita inspeccionar los datos enviados al servidor directamente. El algoritmo de cifrado utilizado se trata de RC4<\/strong>. La clave de cifrado es diferente para cada muestra y se almacena en las preferencias compartidas de la aplicación utilizando la clave “key”.\n<\/p>\n

    \n\tResulta especialmente curioso el uso del algoritmo RC4 para el cifrado de los datos, ya que es el mismo algoritmo de cifrado utilizado por otro troyano bancario popular, ‘Anubis Bankbot’. Aunque sus desarrolladores afirman que Cerberus se ha desarrollado de cero, el uso de RC4 como algoritmo de cifrado, además del uso de PHP como lenguaje de programación en la parte del servidor y la similitud en las respuestas de algunas de las peticiones, hacen pensar que en mayor o menor medida este nuevo troyano podría estar basado en el código de Anubis Bankbot.\n<\/p>\n

    \n\tEntidades afectadas<\/strong>\n<\/p>\n

    \n\tEntre las entidades afectadas se encuentran las españolas Santander, BBVA, Bankia, Cajamar, Banco Sabadell, Ibercaja y Univia. Mientras que en latinoamerica afecta a entidades como Santander (Chile y Perú) y BBVA (Perú).\n<\/p>\n

    \n\tFuente: https:\/\/unaaldia.hispasec.com\/2019\/09\/cerberus-llega-a-espana-y-latinoam…<\/a>\n<\/p>\n

    \n\tNota: el artículo original viene acompañado de imágenes que se omiten en la reproducción por razones de espacio en nuestro blog.<\/strong><\/em>\n<\/p>\n

    \n\t <\/p>\n

    Im\u00e1genes Relacionadas:<\/h3>","protected":false},"excerpt":{"rendered":"

    Cerberus, el reciente malware bancario para Android, afecta ahora a entidades bancarias españolas y latinoamericanas. Sus desarrolladores no distribuyen las muestras para infectar a las víctimas, sino que venden el troyano en un foro ‘underground’ para que sean sus clientes los … Sigue leyendo →<\/span><\/a><\/p>\n","protected":false},"author":3,"featured_media":0,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"ngg_post_thumbnail":0,"footnotes":""},"categories":[2,6,11,14,15,24],"tags":[],"class_list":["post-1516","post","type-post","status-publish","format-standard","hentry","category-amenazas","category-codigos-malignos","category-dispositivos-moviles","category-incidentes","category-informaciones","category-prevencion"],"_links":{"self":[{"href":"https:\/\/blogs.uo.edu.cu\/seginf\/index.php?rest_route=\/wp\/v2\/posts\/1516","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/blogs.uo.edu.cu\/seginf\/index.php?rest_route=\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/blogs.uo.edu.cu\/seginf\/index.php?rest_route=\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/blogs.uo.edu.cu\/seginf\/index.php?rest_route=\/wp\/v2\/users\/3"}],"replies":[{"embeddable":true,"href":"https:\/\/blogs.uo.edu.cu\/seginf\/index.php?rest_route=%2Fwp%2Fv2%2Fcomments&post=1516"}],"version-history":[{"count":2,"href":"https:\/\/blogs.uo.edu.cu\/seginf\/index.php?rest_route=\/wp\/v2\/posts\/1516\/revisions"}],"predecessor-version":[{"id":1520,"href":"https:\/\/blogs.uo.edu.cu\/seginf\/index.php?rest_route=\/wp\/v2\/posts\/1516\/revisions\/1520"}],"wp:attachment":[{"href":"https:\/\/blogs.uo.edu.cu\/seginf\/index.php?rest_route=%2Fwp%2Fv2%2Fmedia&parent=1516"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/blogs.uo.edu.cu\/seginf\/index.php?rest_route=%2Fwp%2Fv2%2Fcategories&post=1516"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/blogs.uo.edu.cu\/seginf\/index.php?rest_route=%2Fwp%2Fv2%2Ftags&post=1516"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}