Los especialistas en ciberseguridad del Servicio de aplicaciones móviles (MARS, por su siglas en inglés) de la empresa Trend Micro descubrieron un nuevo virus informático que está atacando a la mayoría de los celulares. Al virus se lo conoce como CherryBlos y apareció inicialmente en abril de 2023. Actualmente, se encuentra escondido en aplicaciones que se pueden bajar para el dispositivo móvil: GPTalk, Happy Miner, Robot 999 y SynthNet.
El ataque informático busca robar las claves, usuarios y otras contraseñas; en particular, el virus busca robar las credenciales de aplicaciones bancarias y de finanzas.
Para lograr esto, CherryBlos tiene diferentes técnicas de ataque. Una de las maneras es usando una interfaz de usuario falsa emergente cuando se inician las aplicaciones oficiales. El virus llega incluso a verificar cuáles son las apps de billeteras que el usuario tiene instaladas en su dispositivo para lanzar una falsa cuando detecta actividad.
El malware se aprovecha del Servicio de accesibilidad, un sistema que monitoriza la actividad para detectar cuando se está interactuando con alguna app financiera o bancaria, luego, utiliza StartActivity para lanzar las aplicaciones fraudulentas con el fin de inducir a las víctimas a introducir sus credenciales de acceso. Los datos se envían luego a los servidores de los delincuentes que lanzaron el ataque.
CherryBlos identifica tres palabras clave durante la actividad: Retirar, Confirmar y Enviar. Una vez detectadas, el ‘malware' utiliza el servicio de Accesibilidad para descifrar otros elementos, como el tipo de moneda utilizada en esa transacción
Otra de las funciones del malware es usar funciones de reconocimiento óptico de caracteres (OCR) para reconocer contraseñas mnemotécnicas que el usuario utilice en sus plataformas.
