Una nueva y sofisticada campaña maliciosa está utilizando una carga útil del troyano bancario Cerberus para Android no detectada, según el proveedor de ciberseguridad Cyble. En un nuevo informe publicado el 14 de octubre, Cyble Research and Intelligence Labs (CRIL) identificó 15 muestras maliciosas que se hacían pasar por aplicaciones de Chrome y Play Store desde mediados de septiembre hasta finales de octubre. Estos ejemplos utilizan un cuentagotas de varias etapas para implementar una carga útil de troyano bancario, que se descubrió que aprovechaba el troyano bancario Cerberus. La campaña, ErrorFather, está en curso y pareció haber intensificado en septiembre y octubre de 2024, lo que sugiere que el actor de la amenaza está buscando escalar y apuntar a víctimas específicas. Troyano bancario Cerberus y variantes Cerberus es un troyano bancario para Android que apareció en mercados clandestinos en 2019. Está diseñado para parecerse a una aplicación legítima, pero en realidad es un programa malicioso que puede robar credenciales de inicio de sesión para aplicaciones bancarias, datos de tarjetas de crédito y otros datos personales. información. Los investigadores de Cyble observaron que la capacidad del troyano para atacar aplicaciones financieras y de redes sociales explotando el servicio de Accesibilidad, usando ataques de superposición e incorporando computación de red virtual (VNC) y funciones de registro de teclas lo convirtieron en uno de los troyanos bancarios más conocidos. En 2020, tras la filtración del código fuente de Cerberus, apareció una nueva variante llamada ‘Alien’, que aprovecha el código base de Cerberus. En 2021, se observó que otro troyano bancario llamado ‘ERMAC’, que también se basa en el código de Cerberus, apuntaba a más de 450 aplicaciones financieras y de redes sociales. A principios de 2024, se descubrió una nueva amenaza conocida como troyano bancario Phoenix para Android. “Afirmando ser una botnet nueva, se descubrió que Phoenix se vendía en foros clandestinos. Sin embargo, fue identificado como otra bifurcación de Cerberus, utilizando su código fuente exacto, mientras que Alien y ERMAC habían introducido algunas modificaciones”, agregaron los investigadores de Cyble. Decodificar la campaña ErrorFather La campaña ErrorFather es otro ejemplo de reutilización de Cerberus, según los investigadores de Cyble. «Si bien el actor de amenazas detrás de ErrorFather ha modificado ligeramente el malware, sigue basándose principalmente en el código original de Cerberus, por lo que no es apropiado clasificarlo como malware completamente nuevo», agregaron. ErrorFather emplea una sofisticada cadena de infección que involucra múltiples etapas (droppers basados ​​en sesiones, bibliotecas nativas y cargas útiles cifradas), lo que complica los esfuerzos de detección y eliminación. En particular, la campaña utiliza un bot de Telegram llamado ‘ErrorFather’ para comunicarse con el malware. La carga útil final emplea registro de teclas, ataques de superposición, VNC y un algoritmo de generación de dominio (DGA) para realizar actividades maliciosas. La DGA, también utilizada en una campaña Alien de 2022, garantiza la resiliencia al permitir actualizaciones dinámicas del servidor de comando y control (C2), manteniendo el malware operativo incluso si los servidores primarios se desactivan. «A pesar de ser una cepa de malware más antigua, el Cerberus modificado utilizado en esta campaña ha evadido con éxito la detección de los motores antivirus, lo que resalta aún más los riesgos actuales que plantea el malware reestructurado de filtraciones anteriores», señalaron los investigadores. El servidor C2 utilizado para implementar ErrorFather todavía está activo, lo que sugiere que la campaña está en curso. Recomendaciones de mitigación de Cyble Las recomendaciones de Cyble para mitigar la campaña ErrorFather incluyen: Descargar e instalar software solo desde tiendas de aplicaciones oficiales como Google Play Store o iOS App Store Usar un paquete de software antivirus y de seguridad de Internet de renombre en sus dispositivos conectados, como PC, computadoras portátiles y dispositivos móviles Usar contraseñas seguras y aplicar autenticación multifactor (MFA) siempre que sea posible Habilitar funciones de seguridad biométrica como huellas dactilares o reconocimiento facial para desbloquear el dispositivo móvil cuando sea posible Garantizar que Google Play Protect esté habilitado en dispositivos Android