信息化觀察網

本文來自微信公眾號“嘶吼專業(yè)版”，作者/布加迪。

近日谷歌應用程序商店Google Play上驚現兩個新的安卓惡意軟件家族：“CherryBlos”和“FakeTrade”，它們旨在竊取加密貨幣憑據和資金，或者從事詐騙活動。

趨勢科技公司發(fā)現了這些新的惡意軟件種類，它發(fā)現兩者使用相同的網絡基礎設施和證書，這表明它們是由同一伙威脅分子創(chuàng)建的。

惡意應用程序使用各種分發(fā)渠道來傳播，包括社交媒體、網絡釣魚網站以及安卓官方應用程序商店Google Play上的欺詐性購物應用程序。

CherryBlos惡意軟件

CherryBlos惡意軟件于2023年4月首次被發(fā)現肆意分發(fā)，以APK（安卓軟件包）文件的形式在Telegram、Twitter和YouTube上推廣，偽裝成了人工智能工具或加密貨幣挖礦軟件。

圖1.推廣CherryBlos投放應用程序的YouTube視頻（圖片來源：趨勢科技）

惡意APK的名稱為GPTalk、Happy Miner、Robot999和SynthNet，分別從擁有匹配域名的以下網站下載：

•chatgptc[.]io

•Happyminer[.]com

•robot999[.]net

•synthne[.]ai

一個惡意的Synthnet應用程序也被上傳到了Google Play商店，在被舉報并被刪除之前，它已被下載了大約1000次。

CherryBlos是一個加密貨幣竊取器，濫用Accessibility（輔助功能）服務權限從C2服務器獲取兩個配置文件，自動批準額外的權限，并防止用戶殺死被植入木馬的應用程序。

CherryBlos使用一系列策略來竊取加密貨幣憑據和資產，主要策略是加載虛假的用戶界面，模仿官方應用程序來釣魚獲取憑據。

然而可以啟用一項比較值得關注的功能，該功能使用OCR（光學字符識別）從存儲在設備上的圖像和照片中提取文本。

圖2.對圖像執(zhí)行OCR的惡意軟件代碼（圖片來源：趨勢科技）

比如說，在創(chuàng)建新的加密貨幣錢包時，用戶會獲得一個由12個或更多單詞組成的恢復短語/密碼，可用于恢復計算機上的錢包。

在顯示這些單詞后，系統(tǒng)提示用戶記下這些單詞，并將其存儲在妥善的地方，因為任何擁有這些短語的人都可以使用它將你的加密貨幣錢包添加到設備中，并訪問其中的資金。

雖然不建議用拍照把恢復短語拍下來，但人們還是會這么做，把照片保存在電腦和移動設備上。

然而，如果這項惡意軟件功能被啟用，它可能會對圖像進行OCR處理，以提取恢復短語，從而允許不法分子竊取錢包。

然后，收集到的數據定期發(fā)送回威脅分子控制的服務器，如下所示。

圖3.CherryBlos將受害者的助記詞發(fā)送到C2（圖片來源：趨勢科技）

該惡意軟件還充當了幣安應用程序的剪貼板劫持器，通過自動將加密貨幣收件人的地址換成攻擊者控制的地址，而原始地址對這個用戶來說似乎沒有什么變化。

這種行為讓威脅分子得以將匯給用戶的付款轉到他們自己的錢包，實際上竊取了轉移的資金。

FakeTrade活動

趨勢科技的分析師發(fā)現了這與Google Play上的一起活動有關聯；在這起活動中，31個詐騙應用程序統(tǒng)稱為“FakeTrade”，它們使用與CherryBlos應用程序相同的C2網絡基礎設施和證書。

這些應用程序使用購物主題或賺錢誘餌以誘騙用戶觀看廣告、同意付費訂閱，或者充值應用程序內錢包，并且不允許他們兌現虛擬獎勵。

這些應用程序使用一種類似的界面，主要針對馬來西亞、越南、印度尼西亞、菲律賓、烏干達和墨西哥的用戶，其中大多數應用程序是在2021年至2022年期間上傳到Google Play的。

圖4.其中一個FakeTrade應用程序被下載了10000次（圖片來源：趨勢科技）

谷歌告訴外媒，這個被舉報的惡意軟件已經從Google Play中刪除。

谷歌表示：“我們認真對待針對應用程序投訴的安全和隱私問題，如果我們發(fā)現某個應用程序違反了我們的政策，就會采取適當的行動。”

然而，由于成千上萬的用戶已經下載了這些應用程序，因此可能需要在受感染的設備上進行手動清理。

在不斷發(fā)展變化的網絡威脅環(huán)境中，惡意軟件編寫者不斷尋找新的方法來引誘受害者，并竊取敏感數據，這不足為奇。

去年谷歌開始采取措施，通過完全阻止側加載的應用程序使用輔助功能，阻止惡意安卓應用程序濫用輔助功能API從被感染設備上秘密收集信息。

但是竊取器和剪貼器只是眾多惡意軟件中的一種（還有間諜軟件和跟蹤軟件等），它們被用來跟蹤目標，并收集感興趣的信息，對個人隱私和安全構成了嚴重威脅。

本周發(fā)布的一項新研究發(fā)現，至少從2016年開始，一款名為SpyHide的監(jiān)控應用程序就在悄悄收集全球近6萬臺安卓設備的私人電話數據。

一位名為maia arson crimew的安全研究人員說：“一些用戶（惡意軟件運營商）將多個設備連接到其賬戶上，有些人擁有多達30個設備，他們在多年的時間里一直在監(jiān)視其生活中的每個人。”

因此，用戶在下載來歷不明的應用程序時要保持警惕，核實開發(fā)者的信息，并仔細審查應用程序評論，以降低潛在風險。

事實上，沒有什么可以阻止威脅分子在Play Store上創(chuàng)建虛假的開發(fā)者賬戶來分發(fā)惡意軟件，這已引起了谷歌的注意。

本月早些時候，這家搜索巨頭宣布，它將要求所有以組織的身份新注冊的開發(fā)者賬戶在提交應用程序之前提供鄧白氏公司（Dun&Bradstreet）分配的有效D-U-N-S號碼，以確立用戶信任。這個變化將于2023年8月31日起生效。

參考及來源：https://www.bleepingcomputer.com/news/security/new-android-malware-uses-ocr-to-steal-credentials-from-images/