Nueva campaña de Cerberus suplanta a Amazon


En buena parte del mundo ya ha comenzado la ‘desescalada’, y en algunos ya ha comenzado lo que se conoce como ‘nueva normalidad’, en la que la idea es que podamos realizar casi las mismas actividades de siempre pero con mayor precaución tratando de evitar nuevos brotes.

Introducción

Junto a esta desescalada del mundo real, parece que comienza a producirse también una ‘desescalada’ en el mundo del malware.

En anteriores publicaciones hemos analizado como los desarrolladores de malware son capaces de utilizar una situación tan complicada como una pandemia para infectar un mayor número de usuarios gracias a campañas relacionadas con dicha situación.

En este análisis vimos como prácticamente todos los tipos de malware conocidos han utilizado en sus campañas de marzo y mayo el COVID-19 para engañar a sus víctimas y conseguir que instalasen aplicaciones maliciosas en sus dispositivos.

En cambio, durante este mes de Junio hemos empezado a ver otro tipo de campañas, aunque siempre manteniendo las campañas habituales utilizadas por el malware: falsas aplicaciones de Flash Player. En esta vuelta a la normalidad para el mundo de la distribución de malware, hemos visto una nueva campaña utilizada para la distribución del malware bancario para Android Cerberus.

Ha llamado la atención por no ser una campaña de Flash Player habitual, ya que en su lugar han elegido suplantar a Amazon y ofrecer una falsa aplicación para clientes.


Campañas habituales de Cerberus

Cerberus, al igual que la mayor parte del malware bancario para Android, suele utilizar falsas aplicaciones para hacer creer al usuario que se trata de una app que realmente no es, y que lo que hará será espiar su actividad y robar todos sus datos, incluyendo sus credenciales bancarias, además de otros servicios populares.

Las campañas de distribución en los ‘bankers’ de Android giran en torno a Flash Player, y es que es el popular reproductor de Adobe el elegido por los atacantes para que sus víctimas acaben instalando la aplicación maliciosa.

new-cerberus-campaign-amazon-01

Campañas de Cerberus utilizando falsas aplicaciones de Flash Player

Aunque el uso del reproductor de Adobe es lo más habitual, también se han utilizado otras marcas para distribuir el malware, como pueden ser aplicaciones de telecomunicaciones que ofrecen bonos de datos, antivirus o actualizaciones de Google Play, siendo este último el caso más habitual de suplantación tras Flash Player.

new-cerberus-campaign-amazon-02

 

Campaña Amazon

Después de la cuarentena y la moda de las campañas relacionadas con el COVID-19 y las aplicaciones de radar, los atacantes que se encuentran tras Cerberus parecen estar trabajando en nuevas campañas de distribución saliendo del habitual Flash Player o del uso de falsas actualizaciones de Google Play.

A mediados de junio se detectó una nueva campaña de Cerberus que, como novedad, introducía una marca diferente para la distribución del troyano, tratando de conseguir que el número de usuarios infectados fuese el mayor posible.

new-cerberus-campaign-amazon-03

Web falsa utilizada para la distribución

En la anterior imagen podemos observar que en esta campaña se utilizó una web falsa de Amazon en la que se notifica al usuario que existe una nueva aplicación, y se comienza la descarga de la aplicación maliciosa.

El icono y el título de la app suplantan a la aplicación de Amazon, y tal y como indica la falsa web, puede parecer que se trata de la aplicación legítima.

Sin embargo, no es así, y una vez instalada ésta solicita al usuario que le proporcione permisos de accesibilidad para desplegar así la funcionalidad maliciosa y comenzar con el robo de datos.

new-cerberus-campaign-amazon-04

Ventana que solicita que se proporcionen permisos de accesibilidad

A nivel técnico la muestra no incluye ninguna novedad, mantiene la funcionalidad habitual y la lista de entidades afectadas se mantiene sin cambios, todo sigue tal y como lo describimos en nuestro análisis de Cerberus y en nuestra posterior actualización sobre la nueva versión de Marzo.

new-cerberus-campaign-amazon-05
En esta nueva muestra se sigue haciendo uso de cifrado RC4 para la comunicación con el servidor de control y para la ofuscación de las cadenas de texto, dificultando así el análisis de las muestras.

También sigue utilizando la misma estrategia de descifrado/desempaquetado del código malicioso, que se incluye en un falso archivo JSON que en realidad se trata de un fichero DEX de código, que es descifrado con RC4 y cargado en tiempo de ejecución.

new-cerberus-campaign-amazon-06

Cifrado de cadenas


Conclusiones

Como podemos observar los atacantes están constantemente buscando nuevas formas de infectar a sus víctimas.

Durante la cuarentena se utilizaron aplicaciones maliciosas relacionadas con el COVID-19 para tratar de infectar la mayor cantidad de usuarios posible. Ahora que se empieza a recuperar la normalidad y que el virus biológico pierde fuerza, los atacantes buscan nuevas formas de distribuir sus creaciones.

En este caso ha sido el troyano bancario para Android Cerberus el que ha sorprendido, que no incluye novedades relacionadas con su funcionalidad, sino con la nueva campaña que han utilizado los atacantes para distribuir la muestra.

A diferencia de las campañas habituales que utilizaban el reproductor flash de Adobe, en esta campaña se ha utilizado por primera vez al gigante de las compras online, Amazon. Distribuyéndose el malware como si de una actualización de la aplicación legítima se tratase. Y a través de una página web con la misma apariencia que la web oficial de Amazon.
.

 

Publicado por David García

In his more than 9-year professional career, he has been involved in multiple projects, the most important being in the fields of managed security, anti-fraud and ethical hacking services, and malware analysis. He has contributed his know-how and security-related improvements to a wide variety of fraud and vulnerability analysis products. He currently oversees the smooth running of our different products and researches current fraud developments in order to showcase buguroo overseas as well as providing the development department with feedback on the latest malware and cybercriminal trends.


¿Te ha gustado? Comparte en tus comunidades sociales.

 

¿Qué piensas sobre este tema?

Deja tus comentarios

 

¿Necesitas reducir el fraude online de tu banco?

Descubre nuestra visión holística aplicada a la detección del fraude online

Solicita una demo