Una campaña maliciosa sofisticada está utilizando una versión indetectable del troyano bancario Cerberus para Android, según un informe reciente de Cyble Research and Intelligence Labs (CRIL). Esta campaña, denominada ErrorFather, ha estado activa desde mediados de septiembre, apuntando a usuarios a través de aplicaciones falsas de Chrome y Play Store.
Un Vistazo a la Campaña ErrorFather
Cyble identificó 15 muestras maliciosas disfrazadas de aplicaciones legítimas entre septiembre y octubre de 2024. Estas aplicaciones falsas utilizan un dropper multietapa para desplegar un payload del troyano Cerberus, con el objetivo de robar credenciales bancarias y otra información sensible.
El actor detrás de la campaña ha escalado sus ataques en las últimas semanas, lo que sugiere una estrategia más agresiva para apuntar a víctimas específicas.
Cerberus: Un Viejo Conocido con Nuevas Amenazas
El troyano bancario Cerberus apareció por primera vez en los mercados clandestinos en 2019. Este malware se hace pasar por aplicaciones legítimas para robar credenciales de inicio de sesión en apps bancarias, detalles de tarjetas de crédito y más. Cyble destacó que la capacidad de Cerberus para explotar el servicio de accesibilidad de Android, junto con ataques de superposición y características como el control remoto (VNC) y keylogging, lo ha convertido en uno de los troyanos bancarios más peligrosos.
Desde la filtración de su código fuente en 2020, han surgido variantes como Alien y ERMAC, que han afectado a cientos de aplicaciones financieras y de redes sociales.
La Campaña ErrorFather: Un Retorno Inquietante
La campaña ErrorFather reutiliza y modifica el código de Cerberus, dificultando su detección por los sistemas de seguridad. El malware sigue un complejo proceso de infección que involucra droppers basados en sesiones, bibliotecas nativas y payloads encriptados.
Un aspecto notable de la campaña es el uso de un bot de Telegram llamado ErrorFather, que coordina las actividades del malware, incluyendo el robo de credenciales mediante keylogging, ataques de superposición y la utilización de un algoritmo de generación de dominios (DGA) para garantizar la persistencia del malware.
Este DGA permite la actualización dinámica de los servidores de comando y control (C2), lo que dificulta aún más la neutralización del ataque.
Riesgo Persistente
A pesar de ser una variante de malware antigua, la versión modificada de Cerberus ha logrado evadir los motores antivirus, subrayando el peligro continuo que representan las amenazas reconfiguradas. Además, los servidores C2 utilizados para esta campaña permanecen activos, lo que indica que ErrorFather sigue en marcha.
La capacidad de Cerberus para evolucionar y seguir afectando a dispositivos Android demuestra la necesidad de implementar medidas de seguridad más robustas para proteger tanto a usuarios individuales como a empresas contra estas amenazas emergentes.
Esta nueva campaña resalta cómo los cibercriminales continúan aprovechando códigos maliciosos filtrados para desarrollar variantes sofisticadas y persistentes
