Se trata de\u00a0CherryBlos,<\/strong>\u00a0que apareci\u00f3 inicialmente en abril de 2023, que se habr\u00eda distribuido inicialmente a trav\u00e9s de Telegram y estar\u00eda presente en cuatro aplicaciones diferentes para Android:\u00a0GPTalk, Happy Miner, Robot 999 y SynthNet.<\/strong><\/p>\n\n\n\n Es un malware dise\u00f1ado para robar credenciales relacionadas con las transacciones de criptomonedas y que es capaz de reemplazar las direcciones utilizadas cuando se retiran activos de estas billeteras.<\/p>\n\n\n\n Como la mayor\u00eda de troyanos bancarios modernos, CherryBlos \u201crequiere de permisos de accesibilidad para funcionar<\/strong>\u201d, de modo que cuando el usuario abre la aplicaci\u00f3n infectada, se muestra una ventana de di\u00e1logo emergente que solicitar\u00e1 a los usuarios que habiliten los permisos de accesibilidad.<\/p>\n\n\n\n Para robar las credenciales o activos de las billeteras, CherryBlos emplea diferentes t\u00e9cnicas. Una de ellas es la de implementar\u00a0una interfaz de usuario falsa emergente cuando se inician las aplicaciones oficiales.<\/strong>\u00a0De hecho, comprueba las apps de billeteras que el usuario tiene instaladas en su dispositivo para lanzar una falsa cuando detecta actividad.<\/p>\n\n\n\n Para ello, utiliza el Servicio de accesibilidad, un sistema que monitoriza la actividad y que, cuando la detecta, utiliza StartActivity para lanzar las aplicaciones fraudulentas con el fin de inducir a las v\u00edctimas a introducir sus credenciales de acceso. Una vez las v\u00edctimas introducen sus claves y hacen clic sobre el bot\u00f3n \u2018confirmar\u2019, estas se transmiten al servidor de C&C.<\/p>\n\n\n\n Otra t\u00e9cnica de robo que emplea supone la suplantaci\u00f3n de la interfaz de usuario para modificar la direcci\u00f3n de retiro de divisas<\/strong>, con el fin de que vaya a una app leg\u00edtima de Binance controlada por los ciberdelincuentes.<\/p>\n\n\n\n Tal y como han comentado los investigadores, CherryBlos identifica tres palabras clave durante la actividad: \u2018Retirar\u2019, \u2018Confirmar\u2019 y \u2018Enviar\u2019<\/strong>. Una vez detectadas, el \u2018malware\u2019 utiliza el servicio de Accesibilidad para descifrar otros elementos, como el tipo de moneda utilizada en esa transacci\u00f3n. Despu\u00e9s de superponer una interfaz ileg\u00edtima a la aplicaci\u00f3n infectada, se completa la compra de activos y estos se transfieren a una direcci\u00f3n controlada por el atacante.<\/p>\n\n\n\n CherryBlos es capaz de leer archivos multimedia guardados en el almacenamiento externo y que puede utilizar el reconocimiento \u00f3ptico de caracteres (OCR) para reconocer contrase\u00f1as mnemot\u00e9cnicas<\/strong> utilizadas para obtener acceso a una cuenta.<\/p>\n\n\n\n Esto quiere decir que cuando las aplicaciones leg\u00edtimas muestran frases de contrase\u00f1a en las pantallas de los tel\u00e9fonos, este software malicioso puede tomar una imagen de la pantalla<\/strong> y, despu\u00e9s, utilizar OCR para traducir lo que aparece en ella a un formato de texto, que se puede utilizar para vulnerar la cuenta.<\/p>\n\n\n\n La mayor\u00eda de aplicaciones relacionadas con la banca y las fianzas utilizan una configuraci\u00f3n que impide tomar capturas de pantalla durante las transacciones confidenciales pero este malware parece eludir estas restricciones. Esto es posible porque obtiene permisos de accesibilidad utilizados por personas con problemas de visi\u00f3n.<\/p>\n","protected":false},"excerpt":{"rendered":" Se llama CherryBlos y utiliza el reconocimiento \u00f3ptico de caracteres para robar credenciales. Los especialistas en ciberseguridad del Servicio de aplicaciones m\u00f3viles (MARS, por su siglas en ingl\u00e9s) de Trend… <\/p>\n","protected":false},"author":8,"featured_media":77575,"comment_status":"closed","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[24],"tags":[],"class_list":["post-77574","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-tecnologia"],"_links":{"self":[{"href":"https:\/\/corrientesdetarde.com\/index.php\/wp-json\/wp\/v2\/posts\/77574","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/corrientesdetarde.com\/index.php\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/corrientesdetarde.com\/index.php\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/corrientesdetarde.com\/index.php\/wp-json\/wp\/v2\/users\/8"}],"replies":[{"embeddable":true,"href":"https:\/\/corrientesdetarde.com\/index.php\/wp-json\/wp\/v2\/comments?post=77574"}],"version-history":[{"count":1,"href":"https:\/\/corrientesdetarde.com\/index.php\/wp-json\/wp\/v2\/posts\/77574\/revisions"}],"predecessor-version":[{"id":77576,"href":"https:\/\/corrientesdetarde.com\/index.php\/wp-json\/wp\/v2\/posts\/77574\/revisions\/77576"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/corrientesdetarde.com\/index.php\/wp-json\/wp\/v2\/media\/77575"}],"wp:attachment":[{"href":"https:\/\/corrientesdetarde.com\/index.php\/wp-json\/wp\/v2\/media?parent=77574"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/corrientesdetarde.com\/index.php\/wp-json\/wp\/v2\/categories?post=77574"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/corrientesdetarde.com\/index.php\/wp-json\/wp\/v2\/tags?post=77574"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}Atenci\u00f3n con los permisos de las aplicaciones<\/h2>\n\n\n\n
![\"Es](\"https:\/\/tn.com.ar\/resizer\/GVIm8M60VbHOon3zHYxZoKCqNFM=\/767x0\/smart\/filters:format(webp)\/cloudfront-us-east-1.images.arcpublishing.com\/artear\/7X23UJED35F4ZKOFDTPVRBQD5A.jpg\")
<\/figure>\n\n\n\nEl malware CherryBIos puede hacer capturas de pantalla<\/h2>\n\n\n\n