Cerberus es un troyano bancario avanzado para Android que surgió en 2019 y tiene como objetivo principal robar “información financiera” confidencial.
Estos troyanos sofisticados se distribuyen comúnmente a través de aplicaciones maliciosas y campañas de phishing.
Los analistas de ciberseguridad de Cyble descubrieron recientemente la campaña “ErrorFather”, que utiliza una carga útil de troyano de Android no detectada, “Cerberus”.
El troyano bancario Cerberus para Android evolucionó en varias variantes, como 'Alien', 'ERMAC' y 'Phoenix'.
Analiza archivos sospechosos con ANY.RUN: Intergarte With You Security Team -> Pruébalo gratis
En 2024, surgió una nueva campaña llamada “ErrorFather” y se descubrió que utilizaba código fuente de Cerberus significativamente modificado.
ErrorFather hacker ataca a usuarios de Android
Esta campaña utiliza sofisticadas técnicas de cuentagotas de “varias etapas” para evadir la detección. El primer dropper pretende ser una “aplicación legítima” como “Chrome” o “Play Store” e instala un “archivo APK de segunda etapa” llamado “final-signed.apk”.
Esta segunda etapa utiliza una biblioteca nativa ('libmcfae.so') para descifrar y ejecutar la carga útil final ('decrypted.dex'). Esta carga útil final contiene la “funcionalidad maliciosa principal”.
Las características principales incluyen: –
Keylogging Ataques de superposición para robo de credenciales VNC (computación de red virtual) para control remoto Recopilación de PII (información de identificación personal) de MediaProjection
El malware se comunica con el servidor C&C mediante cifrado RC4 para la transmisión de datos.
DGA utilizada en la campaña ErrorFather (Fuente – Cyble)
En particular, se implementa una DGA que utiliza la “zona horaria de Estambul” para crear dominios C&C de respaldo con extensiones como “.click”, “.com”, “.homes” y “.net”.
Este enfoque permite que el malware siga siendo viable incluso si el servidor C&C principal falla, dijo Cyble.
La campaña ErrorFather muestra cómo los troyanos bancarios siguen evolucionando. Utilizan “técnicas avanzadas de ofuscación” y “estructuras modulares” para eludir las medidas de seguridad y atacar aplicaciones financieras y de redes sociales.
Bot ErrorFather Telegram (Fuente – Cyble)
Las características clave incluyen un “bot de Telegram” llamado “ErrorFather” para la comunicación C&C y el uso de conexiones WebSocket para la funcionalidad VNC.
La técnica de superposición del malware se dirige a aplicaciones específicas recuperando una “página de inyección HTML” para crear una “superposición de phishing” convincente.
Página de inyección HTML (fuente – Cyble)
El atacante ha realizado pequeños cambios, como cambiar “acción” por “tipo”, pero la funcionalidad principal sigue siendo similar al código original de Cerberus.
Esta campaña ejemplifica cómo los ciberdelincuentes continúan explotando el código fuente de malware filtrado adaptando herramientas como Cerberus, Alien, ERMAC y Phoenix a ataques continuos.
A pesar de estar basado en malware antiguo, el éxito de ErrorFather a la hora de evadir la detección resalta el “riesgo persistente” que plantea el “software malicioso reconstruido”.
Recomendaciones
Hemos enumerado todas las recomendaciones a continuación: –
Utilice la tienda de aplicaciones oficial. Instale un software antivirus confiable. Utilice contraseñas seguras y autenticación multifactor. Habilite el desbloqueo biométrico. Evite enlaces sospechosos. Habilite Google Play Protect. Tenga cuidado con los permisos de las aplicaciones. Mantenga su dispositivo y sus aplicaciones actualizados.
Cómo elegir la solución SIEM administrada definitiva para su equipo de seguridad -> Descargue la guía gratuita (PDF)
