CherryBlos Mobile Malware gemmer sig i falske Google Play-apps

En advarsel er blevet udstedt af forskere vedrørende to malware-kampagner ved navn CherryBlos og FakeTrade, der sigter mod at målrette Android-brugere for tyveri af kryptovaluta og andre økonomisk motiverede svindelnumre. De cyberkriminelle bag disse kampagner har distribueret malware gennem falske Android-applikationer på Google Play, sociale medieplatforme og phishing-websteder.

Trend Micro afslørede i en nylig rapport, at dets forskere for nylig havde opdaget begge malware-stammer og havde bemærket, at de brugte den samme netværksinfrastruktur og applikationscertifikater. Dette indikerer, at den samme trusselsaktør sandsynligvis er ansvarlig for begge kampagner.

CherryBlos skiller sig ud på grund af sin evne til at anvende optisk tegngenkendelse (OCR) til at læse mnemoniske sætninger i billeder på kompromitterede enheder og derefter overføre disse data til sin kommando-og-kontrol-server (C2). Disse mnemoniske sætninger bruges i cryptocurrency for at lette gendannelsen eller restaureringen af en crypto wallet. Trusselsaktøren bag denne malware ser ikke ud til at være målrettet mod en bestemt region, men snarere ofre over hele verden. De erstatter ressourcestrenge og uploader disse ondsindede apps i forskellige Google Play-regioner, herunder Malaysia, Vietnam, Filippinerne, Indonesien, Uganda og Mexico.

CherryBlos går efter kryptopunge

CherryBlos-kampagnen fokuserer på at stjæle cryptocurrency wallet-relaterede legitimationsoplysninger og ændre et offers wallet-adresse under udbetalinger. For at promovere de falske Android-apps, der indeholder malwaren, bruger operatøren platforme som Telegram, TikTok og X (tidligere kendt som Twitter) til at vise annoncer. Disse annoncer dirigerer typisk brugere til phishing-websteder, der hoster de ondsindede apps. Nogle af de identificerede falske Android-apps, der indeholder CherryBlos, inkluderer GPTalk, Happy Miner, Robot99 og SynthNet.

I lighed med andre Android-banktrojanske heste kræver CherryBlos tilgængelighedstilladelser for at fungere. Disse tilladelser er designet til at forbedre brugervenligheden for brugere med handicap og aktivere funktioner som at læse skærmens indhold højt, automatisere opgaver og give alternative måder at interagere med enheden på. Når en bruger åbner appen, der indeholder CherryBlos, beder en popup dem om at aktivere tilgængelighedstilladelser.

Når CherryBlos er installeret på en enhed, henter den to konfigurationsfiler fra sin C2 og implementerer forskellige metoder til at fortsætte og undgå anti-malware-kontroller. Malwarens persistensmekanismer inkluderer automatisk at give tilladelsesanmodninger og omdirigere brugere til startskærmen, når de forsøger at få adgang til appens indstillinger.

I FakeTrade-kampagnen brugte trusselsaktøren mindst 31 falske Android-apps til at distribuere malwaren. Mange af disse apps havde shopping-relaterede temaer og hævdede, at brugere kunne tjene penge ved at udføre opgaver eller købe yderligere kreditter. Brugere, der faldt for dette, kunne dog ikke hæve deres indtjening senere. Selvom Google fjernede alle de falske apps forbundet med FakeTrade-kampagnen fra Play Butik i 2021 og de første tre kvartaler af 2022, udgør malwaren stadig en betydelig trussel mod Android-brugere. De cyberkriminelle brugte avancerede unddragelsesteknikker såsom softwarepakning, sløring og udnyttelse af Androids tilgængelighedstjeneste.

Samlet set har CherryBlos- og FakeTrade-kampagnerne fremhævet behovet for konstant årvågenhed, når du bruger Android-enheder. Brugere bør udvise forsigtighed, mens de downloader applikationer og være på vagt over for lokkende tilbud, der virker for gode til at være sande. Regelmæssig opdatering af sikkerhedssoftware og bevidsthed om phishing-forsøg kan hjælpe med at beskytte mod sådanne ondsindede kampagner.