Търсене
Close this search box.

Android CherryBlos използва OCR за кражба на чувствителни данни

Наблюдава се, че нов щам на зловреден софтуер за Android, наречен CherryBlos, използва техники за оптично разпознаване на символи (OCR), за да събира поверителни данни, съхранявани в снимки.

CherryBlos, според Trend Micro, се разпространява чрез фалшиви публикации в платформи за социални медии и разполага с възможности за кражба на идентификационни данни, свързани с портфейли за криптовалути, и действа като клипер за подмяна на адресите на портфейлите, когато жертвата копира низ, отговарящ на предварително зададен формат, който се копира в клипборда.

След като бъдат инсталирани, приложенията търсят разрешение от потребителите да им предоставят разрешения за достъп, което им позволява автоматично да си предоставят допълнителни разрешения, когато е необходимо. Като мярка за избягване на защитата потребителите, които се опитват да убият или деинсталират приложението, като влязат в приложението „Настройки“, се пренасочват обратно към началния екран.

Освен че показва фалшиви наслагвания върху легитимни приложения за криптопортфейли, за да открадне идентификационни данни и да извърши измамни преводи на средства към контролиран от нападателя адрес, CherryBlos използва OCR за разпознаване на потенциални мнемонични фрази от изображения и снимки, съхранявани на устройството, резултатите от които периодично се качват на отдалечен сървър.

Успехът на кампанията се основава на възможността потребителите да са склонни да правят скрийншоти на фразите за възстановяване на портфейла на своите устройства.

Trend Micro съобщи, че е открила в Google Play Store и приложение, разработено от заплахата CherryBlos, но без вградения в него зловреден софтуер. Оттогава приложението, наречено Synthnet, е свалено от Google.

Изглежда, че престъпниците имат общи припокривания и с друг набор от дейности, включващ 31 измамни приложения за печелене на пари, наречени FakeTrade, хоствани на официалния пазар за приложения въз основа на използването на обща мрежова инфраструктура и сертификати за приложения.

Повечето от приложенията са били качени в Play Store през 2021 г. и е установено, че са насочени към потребители на Android в Малайзия, Виетнам, Индонезия, Филипините, Уганда и Мексико.

„Тези приложения твърдят, че са платформи за електронна търговия, които обещават увеличен доход за потребителите чрез препратки и допълнения“, заявиха от Trend Micro. „Потребителите обаче няма да могат да изтеглят средствата си, когато се опитат да го направят“.

Разкритието идва в момент, когато McAfee подробно описа SMS фишинг кампания срещу японски потребители на Android, която се представя за компания за енергийна и водна инфраструктура, за да зарази устройствата със зловреден софтуер, наречен SpyNote. Кампанията е проведена в началото на юни 2023 г.

„След стартирането на зловредния софтуер приложението отваря фалшив екран с настройки и подканва потребителя да активира функцията за достъпност“, заяви миналата седмица изследователят на McAfee Юкихиро Окутоми.

„Разрешавайки услугата Accessibility, зловредният софтуер деактивира оптимизацията на батерията, за да може да работи във фонов режим, и автоматично дава разрешение на инсталацията от неизвестен източник да инсталира друг зловреден софтуер без знанието на потребителя.“

Не е изненадващо, че авторите на зловреден софтуер постоянно търсят нови подходи за привличане на жертви и кражба на поверителни данни в постоянно променящия се пейзаж на киберзаплахите.

Миналата година Google започна да предприема мерки за ограничаване на злоупотребата с API за достъпност от нелоялни приложения за Android за тайно събиране на информация от компрометирани устройства, като блокира изцяло използването на функции за достъпност от странично заредени приложения.

Но крадците и подстригвачите представляват само един от многото видове зловреден софтуер – като шпионски софтуер и stalkerware – които се използват за проследяване на цели и събиране на интересуваща ги информация, като представляват сериозна заплаха за личната неприкосновеност и сигурност.

Ново изследване, публикувано тази седмица, установи, че приложение за наблюдение, наречено SpyHide, събира тайно лични телефонни данни от близо 60 000 устройства с Android по света поне от 2016 г. насам.

„Някои от потребителите (операторите) имат множество устройства, свързани с техния акаунт, като някои от тях имат до 30 устройства, които са наблюдавали в продължение на няколко години, шпионирайки всички в живота им“, казва изследовател по сигурността, който се подвизава под името maia arson crimew.

Ето защо е изключително важно потребителите да останат бдителни, когато изтеглят приложения от непроверени източници, да проверяват информацията за разработчиците и да проучват внимателно ревютата на приложенията, за да намалят потенциалните рискове.

Фактът, че нищо не пречи на криминалните типове  да създават фалшиви акаунти на разработчици в Play Store, за да разпространяват зловреден софтуер, не е останал незабелязан от Google.

По-рано този месец гигантът в търсенето обяви, че ще изисква от всички нови акаунти на разработчици, които се регистрират като организация, да предоставят валиден D-U-N-S номер, присвоен от Dun & Bradstreet, преди да изпращат приложения, в опит да се изгради доверие на потребителите. Промяната влиза в сила на 31 август 2023 г.

Източник: The Hacker News

Подобни публикации

21 май 2024

Arm ще пусне чипове с ИИ през 2025 година

Съобщава се, че базираната в Обединеното кралство компания Arm, еди...
20 май 2024

Атака над ARRL постави радиолюбителите по света...

Американската радиорелейна лига (ARRL) предупреждава, че е претърпя...

Защита на вашите коммити от известни CVEs с Git...

Всички разработчици искат да създават сигурен и надежден софтуер. Т...
20 май 2024

Чрез GitHub и FileZilla се доставя коктейл от ...

Наблюдавана е „многостранна кампания“, при която се зло...
20 май 2024

7 бъга излезли на Pwn2Own все още чакат поправка

Редица сериозни грешки в Windows все още не са навлезли в криминалн...
20 май 2024

Китайци са арестувани за пране на 73 милиона до...

Министерството на правосъдието на САЩ повдигна обвинения на двама а...
20 май 2024

Квантовата навигация може да замени GPS съвсем ...

Британски консорциум, финансиран от правителството на Обединеното к...
Бъдете социални
Още по темата
19/05/2024

Grandoreiro се завръща по -...

Банковият троянец за Android „Grandoreiro“ се...
30/04/2024

Google предотврати достъпа ...

В понеделник Google разкри, че през...
26/04/2024

Банковият троянец Godfather...

Операторите на мобилен зловреден софтуер като...
Последно добавени
21/05/2024

Arm ще пусне чипове с ИИ пр...

Съобщава се, че базираната в Обединеното...
20/05/2024

Атака над ARRL постави ради...

Американската радиорелейна лига (ARRL) предупреждава, че...
20/05/2024

Защита на вашите коммити от...

Всички разработчици искат да създават сигурен...
Ключови думи

Абонамента е почти завършен.

На посоченият от Вас e-mail е изпратено съобщение за потвърждаване на абонамента.

Моля, проверете електронната си поща за да потвърдите.

Благодарим за доверието!