Instituto Nacional de ciberseguridad. Sección Incibe
Protege tu empresa. Sección empresas

Historias reales: ¿Conoces Cerberus? Un ladrón sigiloso de cuentas bancarias que se cuela en tu móvil

Fecha de publicación 27/10/2020
Autor
INCIBE (INCIBE)
Historias reales - Cerberus

Luis tiene una pequeña tienda online en la que vende sus productos ecológicos a cualquier parte del mundo, así que necesita estar al día del valor de la divisa del país al que va a realizar sus envíos.

Para ahorrar tiempo, Luis ha decidido descargar una aplicación de conversión de moneda. Después de unos minutos encuentra la aplicación ideal: hace la conversión que necesita, y además mantiene actualizado el cambio, así que la descarga sin dudar.

Al día siguiente, accede a su banco desde su smartphone para comprobar el saldo de sus cuentas. Como es precavido, tiene activado el acceso a su banca online a través de la autenticación de doble factor. Gracias a esta medida de seguridad, Luis accede a sus cuentas de forma más segura.

Una semana más tarde, observa que su teléfono móvil va muy lento y hace cosas extrañas, pero como no tiene mucho tiempo no le da importancia. Poco después, al acceder nuevamente a sus cuentas bancarias, descubre transferencias de dinero a diferentes países que él no ha realizado. Tras contactar con su banco, le indican que probablemente haya sido víctima de algún tipo de phishing en alguno de sus dispositivos.

¿Qué es lo que le ha ocurrido a Luis?

Luis se había descargado una aplicación de conversión de moneda aparentemente inofensiva. Lo que no sabía es que esa aplicación descargada desde una página que encontró por Internet, contenía en realidad un sofisticado troyano bancario denominado «Cerberus», cuyo objetivo es robar datos personales y espiar los teléfonos infectados.

Cerberus no es solo un troyano más en el vasto océano de programas maliciosos. De hecho, ni siquiera se molesta en aprovechar vulnerabilidades para instalarse en los smartphones. Además, pasa desapercibido fácilmente entre las plataformas de aplicaciones, usuarios e investigadores de malware.

Pero… ¿cómo lo consigue?

Cerberus, es un sofisticado troyano bancario con funcionalidad de acceso remoto al dispositivo donde se instala (RAT, del inglés Remote Acces Trojan), que además del robo de datos bancarios, permite el robo de patrones de desbloqueo del teléfono, la superposición de pantallas (por ejemplo, para suplantar las de petición de claves), y la captura de los códigos de Google Authenticator. Todo ello de forma invisible para el usuario.

Cómo se instala en el dispositivo

Algunas de las vías de instalación de este complejo troyano, consisten en emplear repositorios no oficiales que no aplican filtros antimalware.

En algunas ocasiones, logra incluso superar los filtros antimalware de la tienda de Google, camuflándose como una aplicación legítima, y ofreciendo la funcionalidad básica que promete. Sin embargo, esta vía suele durar apenas unas horas por la permanente revisión a la que se someten las aplicaciones que se integran en dicha tienda oficial.

También puede utilizar enlaces a través de correo electrónico y mensajería. De esta forma, dirige al usuario a un sitio web en el que visualizar un vídeo y al acceder a dicho sitio, se solicita la instalación de un plugin de Adobe Flash Player como requisito para poder visualizarlo. Sin embargo, lo que se instala en realidad es el propio troyano.

Cerberus, analiza el dispositivo para saber si es viable su activación o no. Si determina que es un dispositivo ‘confiable’ para él, (en base a parámetros como localización, movimiento, uso, etc.), se activa de forma sigilosa, y se prepara para reportar datos a los ciberdelincuentes. Para realizar todo esto, solamente solicita una vez al usuario permisos de ejecución. Además, puede ocultar su icono y esconderse bajo otra apariencia, como un servicio legítimo del sistema.

Por el momento, Cerberus ‘solo’ afecta a los sistemas Android, los cuales representan más del 80% de los terminales existentes en el mercado.

Cómo funciona

Su lista de funciones disponibles es muy amplia, lo que le permite tener el control casi ‘total’ del dispositivo. Las más destacadas son:

  • Tomar capturas de pantalla y grabaciones de audio.
  • Capturar lo que se escribe en el dispositivo (keylogger).
  • Enviar, recibir y eliminar SMS, así como gestionar notificaciones push.
  • Escuchar y reenviar llamadas.
  • Recolectar y robar información del dispositivo, listas de contactos y cuentas de usuario.
  • Seguimiento de ubicación del dispositivo.
  • Descargar aplicaciones adicionales y eliminarlas del dispositivo infectado.
  • Bloquear la pantalla del dispositivo.
  • Deshabilitar Play Protect.

Además, dispone de un sinfín de vías de expansión, ya que al robar las listas de contactos, cuenta con numerosos nuevos usuarios a los que atacar ampliando así su porcentaje de éxito.

El troyano es capaz de recibir notificaciones de otras aplicaciones, e incluso, ‘ver’ lo que están haciendo para interceptar la información sensible. Por ejemplo, al abrir las aplicaciones legítimas de acceso bancario en un dispositivo infectado, Cerberus las detecta, y superpone una pantalla por encima, suplantando a la legítima del banco para solicitar las credenciales de acceso.

Cerberus emplea plantillas para suplantar la interfaz de acceso a diversas entidades, simulando la petición de credenciales mediante un phishing, como si fuera la legitima de la entidad. Cuando dicha entidad envía códigos por SMS, los intercepta y autoriza automáticamente el acceso. Si, además, utilizamos autenticación de doble factor, también será capaz de interceptar los códigos y emplearlos para el posterior robo de credenciales bancarias.

En estos casos, cuando descargamos una aplicación maliciosa sobre esta temática desde una página no legítima, se iniciará un proceso de instalación normal, con la diferencia de que no se instalará nada visible al usuario, ya que no existe ninguna aplicación. Sin embargo, tras su instalación, comenzará a recopilar información del dispositivo hasta determinar si procede o no a su activación.

Si a estas alturas, hemos pensado en desinstalar la aplicación relacionada con COVID19, sencillamente no encontraremos nada.

CÓMO PROTEGERSE ANTE CERBERUS

Si Luis hubiese descargado la aplicación desde la página oficial de aplicaciones de su dispositivo, y además contase con un antivirus, probablemente hubiera sido más difícil que su teléfono móvil se hubiera infectado.

Dada la complejidad de este malware, no existe una solución única de protección. Las acciones principales que debería haber llevado a cabo Luis, pasan por aplicar una serie de buenas prácticas de prevención que resumimos a continuación:

  • Descargar las aplicaciones desde la tienda oficial (Play Store o App Store);
  • Verificar las opiniones de los usuarios. Si tiene muchas opiniones negativas, es mejor buscar otra alternativa.
  • Desactivar la opción: ‘Permitir la descarga de aplicaciones de otras fuentes’;
  • Otorgar permisos prestando atención durante la instalación y si es coherente con los permisos que solicita.
  • Prestar atención a la interfaz de las aplicaciones que utilicemos, sobre todo las bancarias. Si varían sustancialmente en diseño, color o solicita algo extraño, es mejor consultar con el banco acerca de su funcionamiento.
  • Ante la duda, siempre es mejor desinstalar la app bancaria y volverla a instalar asegurándonos de descargarla de una fuente oficial, el propio banco, o la tienda oficial de aplicaciones.
  • Siempre debemos utilizar la autenticación de 2 factores para acceder a servicios online.
  • Mantener actualizado el sistema Android y todas las aplicaciones, desinstalando aquellas que no se utilicen.
  • Utilizar alguna herramienta antivirus/antimalware de reconocido prestigio.

Si tienes dudas, llama al 017, la Línea de Ayuda en Ciberseguridad de INCIBE. Expertos en la materia resolverán cualquier conflicto online relacionado con el uso de la tecnología y los dispositivos conectados.

017 tu linea de ayuda en ciberesguridad