Наблюдава се, че нов щам на зловреден софтуер за Android, наречен CherryBlos, използва техники за оптично разпознаване на символи (OCR), за да събира поверителни данни, съхранявани в снимки.

CherryBlos, според Trend Micro, се разпространява чрез фалшиви публикации в платформи за социални медии и разполага с възможности за кражба на идентификационни данни, свързани с портфейли за криптовалути, и действа като клипер за подмяна на адресите на портфейлите, когато жертвата копира низ, отговарящ на предварително зададен формат, който се копира в клипборда.

След като бъдат инсталирани, приложенията търсят разрешение от потребителите да им предоставят разрешения за достъп, което им позволява автоматично да си предоставят допълнителни разрешения, когато е необходимо. Като мярка за избягване на защитата потребителите, които се опитват да убият или деинсталират приложението, като влязат в приложението „Настройки“, се пренасочват обратно към началния екран.

Освен че показва фалшиви наслагвания върху легитимни приложения за криптопортфейли, за да открадне идентификационни данни и да извърши измамни преводи на средства към контролиран от нападателя адрес, CherryBlos използва OCR за разпознаване на потенциални мнемонични фрази от изображения и снимки, съхранявани на устройството, резултатите от които периодично се качват на отдалечен сървър.

Успехът на кампанията се основава на възможността потребителите да са склонни да правят скрийншоти на фразите за възстановяване на портфейла на своите устройства.

Trend Micro съобщи, че е открила в Google Play Store и приложение, разработено от заплахата CherryBlos, но без вградения в него зловреден софтуер. Оттогава приложението, наречено Synthnet, е свалено от Google.

Изглежда, че престъпниците имат общи припокривания и с друг набор от дейности, включващ 31 измамни приложения за печелене на пари, наречени FakeTrade, хоствани на официалния пазар за приложения въз основа на използването на обща мрежова инфраструктура и сертификати за приложения.

Повечето от приложенията са били качени в Play Store през 2021 г. и е установено, че са насочени към потребители на Android в Малайзия, Виетнам, Индонезия, Филипините, Уганда и Мексико.

„Тези приложения твърдят, че са платформи за електронна търговия, които обещават увеличен доход за потребителите чрез препратки и допълнения“, заявиха от Trend Micro. „Потребителите обаче няма да могат да изтеглят средствата си, когато се опитат да го направят“.

Разкритието идва в момент, когато McAfee подробно описа SMS фишинг кампания срещу японски потребители на Android, която се представя за компания за енергийна и водна инфраструктура, за да зарази устройствата със зловреден софтуер, наречен SpyNote. Кампанията е проведена в началото на юни 2023 г.

„След стартирането на зловредния софтуер приложението отваря фалшив екран с настройки и подканва потребителя да активира функцията за достъпност“, заяви миналата седмица изследователят на McAfee Юкихиро Окутоми.

„Разрешавайки услугата Accessibility, зловредният софтуер деактивира оптимизацията на батерията, за да може да работи във фонов режим, и автоматично дава разрешение на инсталацията от неизвестен източник да инсталира друг зловреден софтуер без знанието на потребителя.“

Не е изненадващо, че авторите на зловреден софтуер постоянно търсят нови подходи за привличане на жертви и кражба на поверителни данни в постоянно променящия се пейзаж на киберзаплахите.

Миналата година Google започна да предприема мерки за ограничаване на злоупотребата с API за достъпност от нелоялни приложения за Android за тайно събиране на информация от компрометирани устройства, като блокира изцяло използването на функции за достъпност от странично заредени приложения.

Но крадците и подстригвачите представляват само един от многото видове зловреден софтуер – като шпионски софтуер и stalkerware – които се използват за проследяване на цели и събиране на интересуваща ги информация, като представляват сериозна заплаха за личната неприкосновеност и сигурност.

Ново изследване, публикувано тази седмица, установи, че приложение за наблюдение, наречено SpyHide, събира тайно лични телефонни данни от близо 60 000 устройства с Android по света поне от 2016 г. насам.

„Някои от потребителите (операторите) имат множество устройства, свързани с техния акаунт, като някои от тях имат до 30 устройства, които са наблюдавали в продължение на няколко години, шпионирайки всички в живота им“, казва изследовател по сигурността, който се подвизава под името maia arson crimew.

Ето защо е изключително важно потребителите да останат бдителни, когато изтеглят приложения от непроверени източници, да проверяват информацията за разработчиците и да проучват внимателно ревютата на приложенията, за да намалят потенциалните рискове.

Фактът, че нищо не пречи на криминалните типове  да създават фалшиви акаунти на разработчици в Play Store, за да разпространяват зловреден софтуер, не е останал незабелязан от Google.

По-рано този месец гигантът в търсенето обяви, че ще изисква от всички нови акаунти на разработчици, които се регистрират като организация, да предоставят валиден D-U-N-S номер, присвоен от Dun & Bradstreet, преди да изпращат приложения, в опит да се изгради доверие на потребителите. Промяната влиза в сила на 31 август 2023 г.