Poznaj rewolucyjne złośliwe oprogramowanie, które kradnie Twoje identyfikatory obrazów na Androidzie!
Niedawno w Google Play odkryto dwie nowe rodziny złośliwego oprogramowania dla Androida. Aplikacje te, zwane „CherryBlos” i „FakeTrade”, mają na celu kradzież danych uwierzytelniających i funduszy kryptowalut, a także przeprowadzanie oszustw. Ustaleń tych dokonała firma Trend Micro, która zauważyła, że obie rodziny szkodliwego oprogramowania korzystały z tej samej infrastruktury sieciowej i certyfikatów, co sugeruje, że zostały stworzone przez tych samych cyberprzestępców.
Złośliwe aplikacje są dystrybuowane za pośrednictwem różnych kanałów, w tym mediów społecznościowych, witryn phishingowych i zakupów w aplikacji w Google Play, oficjalnym sklepie z aplikacjami na Androida.
Złośliwe oprogramowanie CherryBlos
Szkodliwa wersja aplikacji Synthnet została również przesłana do Google Play, skąd została pobrana około tysiąc razy, zanim została zgłoszona i usunięta.
CherryBlos to złośliwe oprogramowanie, które kradnie dane uwierzytelniające i zasoby kryptowalut przy użyciu różnych taktyk. Nadużywa uprawnień usługi dostępności w celu uzyskania dwóch plików konfiguracyjnych z serwera C2, automatycznego zatwierdzania dodatkowych uprawnień i uniemożliwiania użytkownikowi usunięcia trojanizowanej aplikacji. Ponadto CherryBlos wykorzystuje zwodnicze interfejsy użytkownika, które imitują oficjalne aplikacje w celu kradzieży danych uwierzytelniających. Ciekawą cechą tego szkodliwego oprogramowania jest jego zdolność do optycznego rozpoznawania znaków (OCR) na obrazach przechowywanych na urządzeniu, co pozwala mu kraść frazy odzyskiwania z portfeli kryptowalut.
CherryBlos działa również jako porywacz schowka dla aplikacji Binance. Automatycznie zmienia adres krypto-tokena na adres kontrolowany przez atakującego, podczas gdy pierwotny adres pozostaje niezmieniony dla użytkownika. Umożliwia to cyberprzestępcom przekierowanie płatności do własnych portfeli, kradnąc w ten sposób przesłane środki.
Kampania FakeTrade
Analitycy Trend Micro odkryli także kampanię o nazwie „FakeTrade” w Google Play. Ta kampania obejmuje 31 fałszywych aplikacji, które korzystają z tej samej infrastruktury sieciowej C2 i certyfikatów, co aplikacje CherryBlos.
Aplikacje te wykorzystują motywy zakupowe lub przynęty finansowe, aby nakłonić użytkowników do oglądania reklam, zaakceptowania subskrypcji premium lub zapełnienia portfeli w aplikacji. Jednak nigdy nie pozwalają użytkownikom na wypłatę wirtualnych nagród. Aplikacje te są przeznaczone głównie dla użytkowników z Malezji, Wietnamu, Indonezji, Filipin, Ugandy i Meksyku.
Firma Google szybko zareagowała, usuwając złośliwe aplikacje z Google Play. Ponieważ jednak wielu użytkowników już je pobrało, może być konieczne ręczne oczyszczenie zainfekowanych urządzeń.
Podczas pobierania aplikacji z Google Play należy zachować czujność, a przed ich zainstalowaniem sprawdzić ich pochodzenie i opinie użytkowników. Ponadto zaleca się, aby nie robić zdjęć fraz związanych z odzyskiwaniem portfela kryptowalut, ponieważ złośliwe oprogramowanie takie jak CherryBlos może rozpoznać te obrazy i ukraść powiązane fundusze.
Bezpieczeństwo użytkowników jest priorytetem dla Google, które podejmuje kroki mające na celu ochronę użytkowników przed złośliwym oprogramowaniem w Google Play. Ważne jest jednak, aby użytkownicy byli na bieżąco i podejmowali kroki w celu ochrony swoich urządzeń i danych osobowych.
Comments
Leave a comment