El código fuente completo de Cerberus se ha filtrado en foros underground, de forma que ahora cualquier ciberdelincuente puede hacerse con él de forma gratuita. Los expertos de Kaspersky han seguido activamente el resurgimiento de este malware bancario dirigido a Android, desde julio de 2020, tras el abandono del desarrollador original, el intento de venta y el eventual lanzamiento del proyecto.

La evolución de su funcionalidad, que incluye el robo de autenticación de dos factores (2FA) y capacidades de acceso remoto (RAT), ha hecho que el nivel de infecciones de Cerberus haya aumentado, especialmente en Rusia y en Europa.

Cerberus es un sofisticado malware bancario para Android, detectado por primera vez en el verano de 2019 y distribuido activamente en forma de MaaS (Malware-as-a-Service) en varios foros clandestinos. La reciente filtración de código fuente, conocida como Cerberus v2, abre nuevas oportunidades a los ciberdelincuentes que buscan amenazar al sector bancario a través de dispositivos Android.

A pesar de que los desarrolladores de Cerberus buscaban una vía alternativa para su proyecto en abril de este año, las subastas del código fuente comenzaron a finales de julio debido a la desintegración del equipo de desarrollo. El autor decidió publicar el código fuente del proyecto para usuarios premium en un popular foro underground de habla rusa.

El resultado ha sido un aumento inmediato de las infecciones de aplicaciones móviles y de intentos de robo de dinero a consumidores en Rusia y en toda Europa, ya que cada vez más ciberdelincuentes adquieren el malware de forma gratuita.

Desde que se realizó la primera detección de su actividad en 2019, Cerberus se ha sofisticado y ha incorporado nuevos niveles de funcionalidad, algo parecido a lo que ocurrió con Anubis, otro ejemplo de malware bancario para Android que se hizo público a finales de 2019 en detrimento de los propios clientes y bancos.

Kaspersky ha obtenido el archivo publicado que incluía el código fuente y está en proceso de investigar más a fondo la segunda versión «v2» del malware. Un análisis en profundidad de la infraestructura ya ha desvelado la capacidad del malware para enviar y robar códigos SMS de forma encubierta, utilizar superposiciones de pantalla (overlays) personalizadas de diversos bancos online, y para robar códigos 2FA incluso de Google Authenticator. Entre las capacidades adicionales se incluye el acceso a los datos de las tarjetas de crédito y los contactos de los clientes, la posibilidad de redirigir las llamadas o manipular la funcionalidad del móvil a través de sus características RAT, y de conceder automáticamente los permisos necesarios como parte de sus atributos de autenticación.

Esto es solo la punta del iceberg, por lo que es vital que los usuarios tomen medidas para contrarrestar la amenaza.

Consejos de seguridad de Kaspersky para los usuarios de banca móvil

• Descargue e instale únicamente aplicaciones de las tiendas oficiales como Google Play para dispositivos Android, o App Store para iOS.
• Desactive la función de instalación de programas de fuentes desconocidas en la configuración del smartphone.
• No facilite acceso “root” a los dispositivos, ya que esto da a los ciberdelincuentes posibilidades ilimitadas de llevar a cabo ataques.
• Instale rápidamente las actualizaciones del sistema y de las aplicaciones para solucionar las brechas de seguridad. Las actualizaciones del sistema operativo del móvil nunca deben descargarse desde recursos externos.
• En lo que respecta a datos financieros o personales, adopte siempre una estrategia de atención y escepticismo, para mantenerse alerta.
  Utilice una solución de seguridad de confianza para protegerse frente a una amplia gama de amenazas.