Zlonamjerni softver CherryBlos čita fotografije
Novi Android zlonamjerni softver pod nazivom CherryBlos je primijećen kako koristi tehnike optičkog prepoznavanja karaktera (eng. optical character recognition – OCR) za prikupljanje osjetljivih podataka uskladištenih na slikama.
Distribucija
Zlonamjerne aplikacije koriste različite kanale distribucije, uključujući društvene medije, phishing stranice i lažne aplikacije za kupovinu na Google Play – zvaničnoj prodavnici aplikacija za Android.
U ovom slučaju, distribucija CherryBlos zlonamjernog softvera se prvobitno širio o obliku APK – Android paketa, datoteke promovisane na Telegram, Twitter i YouTube platformama pod maskom AI alata ili rudara novčića u aprilu 2023. godine.
Imena koja su korištena za zlonamjerne APK datoteke su GPTalk, Happy Miner, Robot999 i SynthNet sa lokacija na sljedećim domenama:
- hatgptc[.]io
- happyminer[.]com
- robot999[.]net
- synthnet[.]ai
Pored toga, zlonamjerna aplikacija SynthNet je uspjela da se pojavi i na Google Play prodavnici gdje je preuzeta oko 1.000 puta prije nego što je uklonjena.
Zlonamjerni softver CherryBlos
Ovaj zlonamjerni softver je otkrila sigurnosna kompanija Trend Micro i prvenstveno je namijenjen za krađu kriptovaluta. CherryBlos zlonamjerni softver zloupotrebljava dozvole usluga pristupačnosti (eng. Accessibility service) da bi preuzeo dvije konfiguracione datoteke sa C2 servera, automatski odobrio dodatne dozvole i spriječio korisnika da onesposobi trojanizovanu aplikaciju.
CherryBlos zlonamjerni softver koristi niz taktika za krađu akreditiva i sredstava za kriptovalute, pri čemu je glavna taktika učitavanje lažnih korisničkih interfejsa koji oponašaju zvanične aplikacije za phishing akreditiva. Međutim, može se primijetiti i zanimljivija funkcija koja koristi OCR (optičko prepoznavanje karaktera) za izdvajanje teksta iz slika i fotografija sačuvanih na uređaju.
Primjera radi, korisnici često umjesto zapisivanja, naprave fotografiju podatka za prijavu ili oporavak korisničkih naloga. Iako ovo nije preporučeno, korisnici i dalje to rade, čuvajući ovakve fotografije na računarima i mobilnim uređajima. U slučaju kada je ova funkcija zlonamjernog softvera omogućena ona potencijalno može da primjeni ORC na fotografiji i izdvoji podatke potrebne za krađu korisničkog naloga. Prikupljeni podaci se zatim šalju nazad na servere zlonamjernog aktera redovnim intervalima.
FakeTrade kampanja
Sigurnosni istraživači su pronašli i veze sa kampanjom na Google Play prodavnici gdje je 31 aplikacija za prevaru pod zajedničkim nazivom FakeTrade koristile istu C2 mrežnu infrastrukturu i certifikate kao i CherryBlos aplikacije.
Ove aplikacije koriste teme za kupovinu ili mamce za zaradu koji navode korisnike da gledaju oglase, pristanu na premijum pretplate ili dopunjavaju svoje novčanike u aplikaciji, ali nikada im ne dozvoljavaju da isplate virtuelne nagrade. Aplikacije koriste sličan interfejs i uglavnom ciljaju na korisnike u Maleziji, Vijetnamu, Indoneziji, Filipinima, Ugandi i Meksiku, dok je većina njih postavljena na Google Play prodavnicu između 2021. i 2022. godine.
Zaštita
Da bi se zaštitili od takvih mobilnih prijetnji, korisnici bi trebalo da primjene sljedeće korake:
- Preuzimati aplikacije samo iz pouzdanih izvora i od renomiranih programera. Provjeriti ocjene i recenzije aplikacija pre instaliranja i biti oprezan sa aplikacijama sa mnogo negativnih recenzija ili izvještaja o prevarama.
- Ograničiti broj instaliranih aplikacija na uređaju samo na one koje će se koristiti.
- Primjenjivati najnovije bezbjednosne ispravke i ažuriranja operativnog sistema za uređaje, jer oni često sadrže ispravke za poznate ranjivosti.
- Instalirati renomirano mobilno bezbjednosno rješenje za otkrivanje i blokiranje zlonamjernog softvera i drugih prijetnji.
- Biti oprezan prilikom davanja dozvola aplikacijama, posebno onima koje zahtijevaju pristup osjetljivim informacijama ili sistemskim podešavanjima.
- Korisnici treba da budu oprezni kada rukuju prilozima elektronske pošte, posjećuju. sumnjive Internet lokacije ili preuzimaju datoteke iz nepouzdanih izvora.
Zaključak
Zlonamjerni akter koji stoji iza ovih kampanja koristi napredne tehnike da izbjegne otkrivanje, kao što su pakovanje softvera, prikrivanje i zloupotreba Android usluge pristupačnosti. Ove kampanje su ciljale globalnu publiku i nastavljaju da predstavljaju značajan rizik za korisnike, o čemu svjedoči stalno prisustvo zlonamjernih aplikacija na Google Play prodavnici. Korisnici bi trebalo da uvijek budu oprezni i da prate preporučene korake kako bi se zaštitili.