Malware de Android roba datos financieros de 378 aplicaciones de bancos y billeteras digitales

Los creadores del malware móvil BlackRock han aparecido con un nuevo troyano bancario de Android denominado ERMAC con sus raíces en el malicioso malware Cerberus.

“El nuevo troyano tiene campañas de distribución activas y apunta a 378 aplicaciones bancarias y de billeteras”, según el CEO de ThreatFabric.

Se cree que las primeras campañas que involucran a ERMAC comenzaron a finales de Agosto.

Desde entonces, los ataques se han expandido para incluir una gama de aplicaciones como banca, reproductores multimedia, servicios de entrega, aplicaciones gubernamentales y antivirus como McAfee.

El nuevo troyano se basa casi completamente en el famoso troyano bancario Cerberus, según los hallazgos de la firma holandesa de ciberseguridad ThreatFabric.

DukeEugene también es conocido como el actor detrás de la campaña BlackRock.

Con una amplia variedad de capacidades para el robo de datos, el infostealer y el keylogger se originan en otra cepa bancaria llamada Xerxes que a su vez es una cepa del troyano bancario LokiBot Android.

El código de los malware

Lokibot Android, tiene su código fuente publicado por su autor desde Mayo de 2019.

Cerberus, tuvo su propio código fuente lanzado como un troyano de acceso remoto gratuito (RAT) en foros de piratería clandestinos luego de una subasta fallida que buscaba ganar 100.000 dólares para su desarrollador.

Desde ThreatFabric también se destaca el cese de la actividad de BlackRock desde la aparición de ERMAC, lo que plantea la posibilidad de que DukeEugene haya pasado de utilizar BlackRock a ERMAC.

Además de compartir similitudes con Cerberus, la variedad recién descubierta se destaca por el uso de técnicas de ofuscación y el esquema de cifrado Blowfish que se comunica con el servidor.

Daños buscados por ERMAC

ERMAC

, al igual que su progenitor y otros malware bancarios; está diseñado para robar información, mensajes de texto, abrir aplicaciones y desencadenar ataques de superposición en aplicaciones financieras.

El objetivo final de todo eso es lograr el robo de las credenciales de inicio de sesión de las víctimas.

Además, el troyano ha desarrollado nuevas funciones que permiten al software malicioso borrar el caché de una aplicación específica y robar las cuentas almacenadas dentro del dispositivo.

Relacionados