CherryBlos, el 'malware' que utiliza el reconocimiento óptico de caracteres para robar credenciales

Los investigadores de la compañía de ciberseguridad Trend Micro han descubierto un nuevo malware utilizado para la minería de criptomonedas y campañas de estafas financieras que afecta a diversas aplicaciones para teléfonos con el sistema operativo Android. Se llama CherryBlos y, entre otras cosas, utiliza el reconocimiento óptico de caracteres (OCR, por sus siglas en inglés) para robar credenciales de acceso. 

Según los expertos, CherryBlos apareció en abril de 2023 en un canal de hackers de Telegram y se expandiría a través de cuatro aplicaciones para Android: GPTalk, Happy Miner, Robot 999 y SynthNet. 

Este malware es capaz de reemplazar las direcciones utilizadas cuando se retiran activos de las wallets de criptoactivos. Para ello, lo primero que hace es solicitar la habilitación de permisos de accesibilidad que aparece como una ventana emergente. Luego, puede actuar de diferentes formas. Una es a través del robo de credenciales a través de una interfaz falsa de usuario, en la cual los usuarios introducen sus contraseñas. Otra, es mediante la suplantación de la interfaz real de usuario para modificar la dirección a la cual se transfieren las criptodivisas, para que el usuario envíe ese dinero directamente a una cuenta de Binance controlada por los hackers.  

Adicionalmente, Trend Micro alertó que CherryBlos es capaz de utilizar el OCR para reconocer contraseñas mnemotécnicas de acceso a una cuenta. Esto lo hace a través de la toma de una imagen de la pantalla y traducir lo que dice en ella a texto. Si bien muchas aplicaciones bancarias no permiten las capturas de pantallas, este malware elude estas restricciones gracias a la obtención de permisos de accesibilidad utilizados por personas no videntes o con problemas de visión.