CherryBlos Mobile Malware versteckt sich in gefälschten Google Play Apps

Forscher haben eine Warnung zu zwei Malware-Kampagnen namens CherryBlos und FakeTrade herausgegeben, die darauf abzielen, Android-Benutzer für Kryptowährungsdiebstahl und andere finanziell motivierte Betrügereien anzusprechen. Die Cyberkriminellen hinter diesen Kampagnen verbreiten die Malware über gefälschte Android-Anwendungen auf Google Play, Social-Media-Plattformen und Phishing-Websites.

Trend Micro gab in einem aktuellen Bericht bekannt, dass seine Forscher kürzlich beide Malware-Stämme entdeckt und festgestellt hatten, dass sie dieselbe Netzwerkinfrastruktur und dieselben Anwendungszertifikate verwendeten. Dies weist darauf hin, dass wahrscheinlich derselbe Bedrohungsakteur für beide Kampagnen verantwortlich ist.

CherryBlos zeichnet sich durch seine Fähigkeit aus, mittels optischer Zeichenerkennung (OCR) mnemonische Phrasen in Bildern auf kompromittierten Geräten zu lesen und diese Daten dann an seinen Command-and-Control-Server (C2) zu übertragen. Diese mnemonischen Phrasen werden in Kryptowährungen verwendet, um die Wiederherstellung oder Wiederherstellung einer Krypto-Wallet zu erleichtern. Der Bedrohungsakteur hinter dieser Malware scheint nicht auf eine bestimmte Region abzuzielen, sondern auf Opfer auf der ganzen Welt. Sie ersetzen Ressourcenzeichenfolgen und laden diese schädlichen Apps in verschiedene Google Play-Regionen hoch, darunter Malaysia, Vietnam, die Philippinen, Indonesien, Uganda und Mexiko.

CherryBlos ist auf der Suche nach Krypto-Wallets

Die CherryBlos-Kampagne konzentriert sich auf den Diebstahl von Zugangsdaten zu Kryptowährungs-Wallets und die Änderung der Wallet-Adresse eines Opfers bei Abhebungen. Um die gefälschten Android-Apps zu bewerben, die die Schadsoftware enthalten, nutzt der Betreiber Plattformen wie Telegram, TikTok und X (früher bekannt als Twitter), um Werbung anzuzeigen. Diese Anzeigen leiten Benutzer normalerweise zu Phishing-Sites weiter, auf denen die schädlichen Apps gehostet werden. Zu den identifizierten gefälschten Android-Apps, die CherryBlos enthalten, gehören GPTalk, Happy Miner, Robot99 und SynthNet.

Ähnlich wie andere Android-Banking-Trojaner erfordert CherryBlos Zugriffsberechtigungen, um zu funktionieren. Diese Berechtigungen sollen die Benutzerfreundlichkeit für Benutzer mit Behinderungen verbessern, indem sie Funktionen wie das Vorlesen von Bildschirminhalten, die Automatisierung von Aufgaben und die Bereitstellung alternativer Möglichkeiten zur Interaktion mit dem Gerät ermöglichen. Wenn ein Benutzer die App mit CherryBlos öffnet, wird er in einem Popup aufgefordert, Barrierefreiheitsberechtigungen zu aktivieren.

Sobald CherryBlos auf einem Gerät installiert ist, ruft es zwei Konfigurationsdateien von seinem C2 ab und setzt verschiedene Methoden ein, um Anti-Malware-Kontrollen beizubehalten und zu umgehen. Zu den Persistenzmechanismen der Malware gehört die automatische Gewährung von Berechtigungsanfragen und die Umleitung von Benutzern zum Startbildschirm, wenn sie versuchen, auf die Einstellungen der App zuzugreifen.

In der FakeTrade-Kampagne nutzte der Bedrohungsakteur mindestens 31 gefälschte Android-Apps, um die Malware zu verbreiten. Viele dieser Apps hatten einkaufsbezogene Themen und gaben an, dass Benutzer Geld verdienen könnten, indem sie Aufgaben erledigen oder zusätzliche Credits kaufen. Nutzer, die darauf hereinfielen, konnten sich ihre Einnahmen jedoch später nicht auszahlen lassen. Obwohl Google im Jahr 2021 und in den ersten drei Quartalen 2022 alle gefälschten Apps im Zusammenhang mit der FakeTrade-Kampagne aus dem Play Store entfernt hat, stellt die Malware immer noch eine erhebliche Bedrohung für Android-Nutzer dar. Die Cyberkriminellen nutzten fortschrittliche Umgehungstechniken wie Software-Packung, Verschleierung und die Ausnutzung des Android-Barrierefreiheitsdienstes.

Insgesamt haben die Kampagnen CherryBlos und FakeTrade die Notwendigkeit ständiger Wachsamkeit bei der Verwendung von Android-Geräten deutlich gemacht. Benutzer sollten beim Herunterladen von Anwendungen Vorsicht walten lassen und sich vor verlockenden Angeboten hüten, die zu gut scheinen, um wahr zu sein. Die regelmäßige Aktualisierung der Sicherheitssoftware und die Kenntnis von Phishing-Versuchen können zum Schutz vor solchen bösartigen Kampagnen beitragen.