{"id":5194,"date":"2023-08-02T22:40:10","date_gmt":"2023-08-02T20:40:10","guid":{"rendered":"https:\/\/sajberinfo.com\/?p=5194"},"modified":"2023-08-02T22:40:10","modified_gmt":"2023-08-02T20:40:10","slug":"zlonamjerni-softver-cherryblos-cita-fotografije","status":"publish","type":"post","link":"https:\/\/sajberinfo.com\/en\/2023\/08\/02\/zlonamjerni-softver-cherryblos-cita-fotografije\/","title":{"rendered":"Zlonamjerni softver CherryBlos \u010dita fotografije"},"content":{"rendered":"<p><span style=\"font-size: 14pt;\">Novi <em>Android<\/em> <a href=\"https:\/\/sajberinfo.com\/2021\/09\/26\/malware\/\" target=\"_blank\" rel=\"nofollow noopener\">zlonamjerni softver<\/a> pod nazivom <em>CherryBlos<\/em> je primije\u0107en kako koristi tehnike opti\u010dkog prepoznavanja karaktera (eng. <em>optical character recognition \u2013 OCR<\/em>) za prikupljanje osjetljivih podataka uskladi\u0161tenih na slikama.<\/span><\/p>\n<div id=\"attachment_5197\" style=\"width: 1034px\" class=\"wp-caption aligncenter\"><img loading=\"lazy\" decoding=\"async\" aria-describedby=\"caption-attachment-5197\" class=\"size-full wp-image-5197\" src=\"https:\/\/sajberinfo.com\/wp-content\/uploads\/2023\/08\/CherryBlos-Android-malware.jpeg\" alt=\"CherryBlos\" width=\"1024\" height=\"1024\" srcset=\"https:\/\/sajberinfo.com\/wp-content\/uploads\/2023\/08\/CherryBlos-Android-malware.jpeg 1024w, https:\/\/sajberinfo.com\/wp-content\/uploads\/2023\/08\/CherryBlos-Android-malware-300x300.jpeg 300w, https:\/\/sajberinfo.com\/wp-content\/uploads\/2023\/08\/CherryBlos-Android-malware-150x150.jpeg 150w, https:\/\/sajberinfo.com\/wp-content\/uploads\/2023\/08\/CherryBlos-Android-malware-768x768.jpeg 768w, https:\/\/sajberinfo.com\/wp-content\/uploads\/2023\/08\/CherryBlos-Android-malware-12x12.jpeg 12w, https:\/\/sajberinfo.com\/wp-content\/uploads\/2023\/08\/CherryBlos-Android-malware-80x80.jpeg 80w, https:\/\/sajberinfo.com\/wp-content\/uploads\/2023\/08\/CherryBlos-Android-malware-320x320.jpeg 320w\" sizes=\"auto, (max-width: 1024px) 100vw, 1024px\" \/><p id=\"caption-attachment-5197\" class=\"wp-caption-text\"><em>Zlonamjerni softver CherryBlos \u010dita fotografije; Source: Bing Image Creator<\/em><\/p><\/div>\n<h2><span style=\"font-size: 14pt;\"><strong>Distribucija<\/strong><\/span><\/h2>\n<p><span style=\"font-size: 14pt;\">Zlonamjerne aplikacije koriste razli\u010dite kanale distribucije, uklju\u010duju\u0107i dru\u0161tvene medije, <a href=\"https:\/\/sajberinfo.com\/2022\/02\/23\/phishing\/\" target=\"_blank\" rel=\"nofollow noopener\"><em>phishing<\/em> <\/a>stranice i la\u017ene aplikacije za kupovinu na <em>Google Play<\/em> \u2013 zvani\u010dnoj prodavnici aplikacija za <em>Android<\/em>.<\/span><\/p>\n<p><span style=\"font-size: 14pt;\">U ovom slu\u010daju, distribucija\u00a0 <em>CherryBlos<\/em> zlonamjernog softvera se prvobitno \u0161irio o obliku <em>APK<\/em> \u2013 <em>Android<\/em> paketa, datoteke promovisane na <em>Telegram<\/em>, <em>Twitter <\/em>i <em>YouTube<\/em> platformama pod maskom <em>AI<\/em> alata ili rudara nov\u010di\u0107a u aprilu 2023. godine.<\/span><\/p>\n<p><span style=\"font-size: 14pt;\">Imena koja su kori\u0161tena za zlonamjerne <em>APK<\/em> datoteke su <em>GPTalk<\/em>, <em>Happy<\/em> <em>Miner<\/em>, <em>Robot999<\/em> i <em>SynthNet<\/em> sa lokacija na sljede\u0107im domenama:<\/span><\/p>\n<ul>\n<li><span style=\"font-size: 14pt;\"><em>hatgptc[.]io<\/em><\/span><\/li>\n<li><span style=\"font-size: 14pt;\"><em>happyminer[.]com<\/em><\/span><\/li>\n<li><span style=\"font-size: 14pt;\"><em>robot999[.]net<\/em><\/span><\/li>\n<li><span style=\"font-size: 14pt;\"><em>synthnet[.]ai<\/em><\/span><\/li>\n<\/ul>\n<p><span style=\"font-size: 14pt;\">Pored toga, zlonamjerna aplikacija <em>SynthNet<\/em> je uspjela da se pojavi i na <em>Google<\/em> <em>Play<\/em> prodavnici gdje je preuzeta oko <em>1.000<\/em> puta prije nego \u0161to je uklonjena.<\/span><\/p>\n<p>&nbsp;<\/p>\n<h3><span style=\"font-size: 14pt;\"><strong>Zlonamjerni softver <em>CherryBlos<\/em><\/strong><\/span><\/h3>\n<p><span style=\"font-size: 14pt;\">Ovaj zlonamjerni softver je <a href=\"https:\/\/www.trendmicro.com\/en_us\/research\/23\/g\/cherryblos-and-faketrade-android-malware-involved-in-scam-campai.html\" target=\"_blank\" rel=\"noopener\">otkrila sigurnosna kompanija <em>Trend Micro<\/em><\/a> i prvenstveno je namijenjen za kra\u0111u kriptovaluta. <em>CherryBlos <\/em>zlonamjerni softver zloupotrebljava dozvole usluga pristupa\u010dnosti (eng. <em>Accessibility service<\/em>) da bi preuzeo dvije konfiguracione datoteke sa <em>C2<\/em> servera, automatski odobrio dodatne dozvole i sprije\u010dio korisnika da onesposobi trojanizovanu aplikaciju.<\/span><\/p>\n<p><span style=\"font-size: 14pt;\"><em>CherryBlos <\/em>zlonamjerni softver koristi niz taktika za kra\u0111u akreditiva i sredstava za kriptovalute, pri \u010demu je glavna taktika u\u010ditavanje la\u017enih korisni\u010dkih interfejsa koji opona\u0161aju zvani\u010dne aplikacije za <em>phishing<\/em> akreditiva. Me\u0111utim, mo\u017ee se primijetiti i zanimljivija funkcija koja koristi <em>OCR<\/em> (opti\u010dko prepoznavanje karaktera) za izdvajanje teksta iz slika i fotografija sa\u010duvanih na ure\u0111aju.<\/span><\/p>\n<p><span style=\"font-size: 14pt;\">Primjera radi, korisnici \u010desto umjesto zapisivanja, naprave fotografiju podatka za prijavu ili oporavak korisni\u010dkih naloga. Iako ovo nije preporu\u010deno, korisnici i dalje to rade, \u010duvaju\u0107i ovakve fotografije na ra\u010dunarima i mobilnim ure\u0111ajima. U slu\u010daju kada je ova funkcija zlonamjernog softvera omogu\u0107ena ona potencijalno mo\u017ee da primjeni <em>ORC<\/em> na fotografiji i izdvoji podatke potrebne za kra\u0111u korisni\u010dkog naloga. Prikupljeni podaci se zatim \u0161alju nazad na servere zlonamjernog aktera redovnim intervalima.<\/span><\/p>\n<p>&nbsp;<\/p>\n<h4><span style=\"font-size: 14pt;\"><strong><em>FakeTrade<\/em> kampanja<\/strong><\/span><\/h4>\n<p><span style=\"font-size: 14pt;\">Sigurnosni istra\u017eiva\u010di su prona\u0161li i veze sa kampanjom na <em>Google<\/em> <em>Play<\/em> prodavnici gdje je 31 aplikacija za prevaru pod zajedni\u010dkim nazivom <em>FakeTrade<\/em> koristile\u00a0 istu <em>C2<\/em> mre\u017enu infrastrukturu i certifikate kao i <em>CherryBlos<\/em> aplikacije.<\/span><\/p>\n<p><span style=\"font-size: 14pt;\">Ove aplikacije koriste teme za kupovinu ili mamce za zaradu koji navode korisnike da gledaju oglase, pristanu na premijum pretplate ili dopunjavaju svoje nov\u010danike u aplikaciji, ali nikada im ne dozvoljavaju da isplate virtuelne nagrade. Aplikacije koriste sli\u010dan interfejs i uglavnom ciljaju na korisnike u Maleziji, Vijetnamu, Indoneziji, Filipinima, Ugandi i Meksiku, dok je ve\u0107ina njih postavljena na <em>Google<\/em> <em>Play<\/em> prodavnicu izme\u0111u 2021. i 2022. godine.<\/span><\/p>\n<p>&nbsp;<\/p>\n<h5><span style=\"font-size: 14pt;\"><strong>Za\u0161tita<\/strong><\/span><\/h5>\n<p><span style=\"font-size: 14pt;\">Da bi se za\u0161titili od takvih mobilnih prijetnji, korisnici bi trebalo da primjene sljede\u0107e korake:<\/span><\/p>\n<ul>\n<li><span style=\"font-size: 14pt;\">Preuzimati aplikacije samo iz pouzdanih izvora i od renomiranih programera. Provjeriti ocjene i recenzije aplikacija pre instaliranja i biti oprezan sa aplikacijama sa mnogo negativnih recenzija ili izvje\u0161taja o prevarama.<\/span><\/li>\n<li><span style=\"font-size: 14pt;\">Ograni\u010diti broj instaliranih aplikacija na ure\u0111aju samo na one koje \u0107e se koristiti.<\/span><\/li>\n<li><span style=\"font-size: 14pt;\">Primjenjivati najnovije bezbjednosne ispravke i a\u017euriranja operativnog sistema za ure\u0111aje, jer oni \u010desto sadr\u017ee ispravke za poznate ranjivosti.<\/span><\/li>\n<li><span style=\"font-size: 14pt;\">Instalirati renomirano mobilno bezbjednosno rje\u0161enje za otkrivanje i blokiranje zlonamjernog softvera i drugih prijetnji.<\/span><\/li>\n<li><span style=\"font-size: 14pt;\">Biti oprezan prilikom davanja dozvola aplikacijama, posebno onima koje zahtijevaju pristup osjetljivim informacijama ili sistemskim pode\u0161avanjima.<\/span><\/li>\n<li><span style=\"font-size: 14pt;\">Korisnici treba da budu oprezni kada rukuju prilozima elektronske po\u0161te, posje\u0107uju. sumnjive Internet lokacije ili preuzimaju datoteke iz nepouzdanih izvora.<\/span><\/li>\n<\/ul>\n<p>&nbsp;<\/p>\n<h5><span style=\"font-size: 14pt;\"><strong>Zaklju\u010dak<\/strong><\/span><\/h5>\n<p><span style=\"font-size: 14pt;\">Zlonamjerni akter koji stoji iza ovih kampanja koristi napredne tehnike da izbjegne otkrivanje, kao \u0161to su pakovanje softvera, prikrivanje i zloupotreba <em>Android<\/em> usluge pristupa\u010dnosti. Ove kampanje su ciljale globalnu publiku i nastavljaju da predstavljaju zna\u010dajan rizik za korisnike, o \u010demu svjedo\u010di stalno prisustvo zlonamjernih aplikacija na <em>Google<\/em> <em>Play<\/em> prodavnici. Korisnici bi trebalo da uvijek budu oprezni i da prate preporu\u010dene korake kako bi se za\u0161titili.<\/span><\/p>\n","protected":false},"excerpt":{"rendered":"<p>Novi Android zlonamjerni softver pod nazivom CherryBlos je primije\u0107en kako koristi tehnike opti\u010dkog prepoznavanja karaktera (eng. optical character recognition \u2013 OCR) za prikupljanje osjetljivih podataka uskladi\u0161tenih na slikama. Distribucija Zlonamjerne aplikacije koriste razli\u010dite kanale&#46;&#46;&#46;<\/p>","protected":false},"author":1,"featured_media":5197,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[6],"tags":[187,497,93,498],"class_list":["post-5194","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-hronike","tag-android","tag-cherryblos","tag-malware","tag-ocr"],"_links":{"self":[{"href":"https:\/\/sajberinfo.com\/en\/wp-json\/wp\/v2\/posts\/5194","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/sajberinfo.com\/en\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/sajberinfo.com\/en\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/sajberinfo.com\/en\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/sajberinfo.com\/en\/wp-json\/wp\/v2\/comments?post=5194"}],"version-history":[{"count":0,"href":"https:\/\/sajberinfo.com\/en\/wp-json\/wp\/v2\/posts\/5194\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/sajberinfo.com\/en\/wp-json\/wp\/v2\/media\/5197"}],"wp:attachment":[{"href":"https:\/\/sajberinfo.com\/en\/wp-json\/wp\/v2\/media?parent=5194"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/sajberinfo.com\/en\/wp-json\/wp\/v2\/categories?post=5194"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/sajberinfo.com\/en\/wp-json\/wp\/v2\/tags?post=5194"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}