Нове шкідливе програмне забезпечення для Android CherryBlos використовує OCR для крадіжки конфіденційних даних

Виявлено нове шкідливе програмне забезпечення для Android під назвою CherryBlos, який використовує методи оптичного розпізнавання символів (OCR) для збору конфіденційних даних, що зберігаються у вигляді зображень.

За даними Trend Micro, CherryBlos поширюється через фальшиві пости в соціальних мережах і може викрадати облікові дані криптовалютних гаманців, а також підміняти адреси гаманців, коли жертва копіює в буфер обміну рядок, що відповідає визначеному формату, і заміняє його.

Після встановлення додаток запитує у користувачів дозволи на надання їй прав доступу, що дозволяє їй автоматично надавати собі додаткові дозволи за потреби. Як захід захисту, користувачі, які намагаються знищити або видалити програму, увійшовши до програми “Налаштування”, перенаправляються назад на головний екран.

Окрім фальшивих оверлеїв на легітимні додатки криптогаманців для викрадення облікових даних та здійснення шахрайських переказів коштів на підконтрольну зловмисникам адресу, CherryBlos використовує OCR для розпізнавання потенційних мнемонічних фраз із зображень і фотографій, що зберігаються на пристрої, результати якого періодично завантажуються на віддалений сервер.

Успіх кампанії ґрунтується на тому, що користувачі схильні робити скріншоти фраз для відновлення гаманців на своїх пристроях.

Trend Micro повідомила, що також знайшла в Google Play Store додаток, розроблений учасниками кампанії CherryBlos, але без вбудованого в нього шкідливого програмного забезпечення. Додаток під назвою Synthnet був видалений компанією Google.

Зловмисники також перетинаються з іншою групою, яка розмістила 31 шахрайський додаток для заробітку грошей під назвою FakeTrade на офіційному маркеті додатків.

Більшість додатків були завантажені в Play Store у 2021 році та орієнтовані на користувачів Android у Малайзії, В’єтнамі, Індонезії, Філіппінах, Уганді та Мексиці.

“Ці додатки заявляють, що вони є платформами електронної комерції, які обіцяють користувачам підвищений дохід за рахунок рефералів і поповнення рахунку, – зазначають у Trend Micro. “Однак користувачі не зможуть вивести свої кошти, коли спробують це зробити”.

Виявити шкідливі додатки вдалося після того, як McAfee детально описала SMS-фішингову кампанію, спрямовану проти японських користувачів Android, яка маскувалася під компанію з енерго- та водопостачання, щоб заразити пристрої шкідливим програмним забезпеченням під назвою SpyNote. Кампанія відбулася на початку червня 2023 року.

“Після запуску шкідливого програмного забезпечення додаток відкриває фальшивий екран налаштувань і пропонує користувачеві увімкнути функцію “Доступність”, – заявив минулого тижня дослідник McAfee Юкіхіро Окутомі.

Увімкнувши службу “Доступність”, шкідливе програмне забезпечення відключає оптимізацію батареї, щоб працювати у фоновому режимі, і автоматично надає невідомому джерелу дозвіл на встановлення іншого шкідливого програмного забезпечення без відома користувача.

Не дивно, що автори шкідливих програм постійно шукають нові підходи для заманювання жертв і викрадення конфіденційних даних в умовах постійно мінливого ландшафту кіберзагроз.

Минулого року компанія Google почала вживати заходів для припинення зловживання API-інтерфейсів доступності зловмисними програмами для Android з метою прихованого збору інформації зі скомпрометованих пристроїв, заблокувавши можливість використання функцій доступності додатками, що працюють у фоновому режимі, взагалі.

Але стилери та кліпери – це лише один із багатьох видів шкідливих програм, таких як шпигунські програми та програми-сталкери, які використовуються для відстеження цілей та збору інформації, що становить серйозну загрозу для особистої конфіденційності та безпеки.

Нове дослідження, опубліковане цього тижня, показало, що додаток для стеження під назвою SpyHide приховано збирає приватні телефонні дані з майже 60 000 пристроїв Android по всьому світу щонайменше з 2016 року.

“Деякі користувачі (оператори) мають кілька пристроїв, підключених до свого облікового запису, а деякі – до 30 пристроїв, за якими вони стежать протягом декількох років, шпигуючи за кожним у своєму житті”, – зазначає дослідниця безпеки Майя Арсон Крім’ю (Maia Arson Crimew).

Тому користувачам вкрай важливо зберігати пильність при завантаженні додатків з неперевірених джерел, перевіряти інформацію про розробників і ретельно вивчати відгуки про додатки, щоб зменшити потенційні ризики.

Той факт, що ніщо не заважає зловмисникам створювати фальшиві акаунти розробників у Play Store для розповсюдження шкідливого програмного забезпечення, не залишився непоміченим Google.

Раніше цього місяця пошуковий гігант оголосив, що вимагатиме від усіх нових акаунтів розробників, які реєструються як організації, надавати дійсний D-U-N-S номер, присвоєний компанією Dun & Bradstreet, перед тим, як надсилати додатки, з метою зміцнення довіри користувачів. Зміна набуває чинності 31 серпня 2023 року.