Το CherryBlos Mobile Malware κρύβεται σε ψεύτικες εφαρμογές Google Play

Μια προειδοποίηση έχει εκδοθεί από ερευνητές σχετικά με δύο καμπάνιες κακόβουλου λογισμικού που ονομάζονται CherryBlos και FakeTrade, με στόχο να στοχεύουν χρήστες Android για κλοπή κρυπτονομισμάτων και άλλες απάτες με οικονομικά κίνητρα. Οι κυβερνοεγκληματίες πίσω από αυτές τις καμπάνιες διανέμουν το κακόβουλο λογισμικό μέσω ψεύτικων εφαρμογών Android στο Google Play, πλατφόρμες μέσων κοινωνικής δικτύωσης και ιστότοπους ηλεκτρονικού ψαρέματος.

Η Trend Micro, σε μια πρόσφατη αναφορά, αποκάλυψε ότι οι ερευνητές της είχαν πρόσφατα ανακαλύψει και τα δύο στελέχη κακόβουλου λογισμικού και είχαν παρατηρήσει ότι χρησιμοποιούσαν την ίδια υποδομή δικτύου και τα ίδια πιστοποιητικά εφαρμογών. Αυτό δείχνει ότι ο ίδιος παράγοντας απειλής είναι πιθανότατα υπεύθυνος και για τις δύο καμπάνιες.

Το CherryBlos ξεχωρίζει λόγω της ικανότητάς του να χρησιμοποιεί οπτική αναγνώριση χαρακτήρων (OCR) για να διαβάζει μνημονικές φράσεις σε εικόνες σε παραβιασμένες συσκευές και στη συνέχεια να μεταδίδει αυτά τα δεδομένα στον διακομιστή εντολών και ελέγχου (C2). Αυτές οι μνημονικές φράσεις χρησιμοποιούνται στα κρυπτονομίσματα για να διευκολύνουν την ανάκτηση ή την αποκατάσταση ενός κρυπτογραφικού πορτοφολιού. Ο παράγοντας απειλής πίσω από αυτό το κακόβουλο λογισμικό δεν φαίνεται να στοχεύει μια συγκεκριμένη περιοχή αλλά μάλλον θύματα σε όλο τον κόσμο. Αντικαθιστούν συμβολοσειρές πόρων και ανεβάζουν αυτές τις κακόβουλες εφαρμογές σε διαφορετικές περιοχές του Google Play, όπως η Μαλαισία, το Βιετνάμ, οι Φιλιππίνες, η Ινδονησία, η Ουγκάντα και το Μεξικό.

Το CherryBlos κυνηγά τα Crypto Wallets

Η καμπάνια CherryBlos εστιάζει στην κλοπή διαπιστευτηρίων που σχετίζονται με το πορτοφόλι κρυπτονομισμάτων και στην αλλαγή της διεύθυνσης πορτοφολιού του θύματος κατά τις αναλήψεις. Για την προώθηση των ψεύτικων εφαρμογών Android που περιέχουν το κακόβουλο λογισμικό, ο χειριστής χρησιμοποιεί πλατφόρμες όπως το Telegram, το TikTok και το X (παλαιότερα γνωστό ως Twitter) για την προβολή διαφημίσεων. Αυτές οι διαφημίσεις συνήθως κατευθύνουν τους χρήστες σε ιστότοπους phishing που φιλοξενούν τις κακόβουλες εφαρμογές. Μερικές από τις ταυτοποιημένες ψεύτικες εφαρμογές Android που περιέχουν CherryBlos περιλαμβάνουν τα GPTalk, Happy Miner, Robot99 και SynthNet.

Παρόμοια με άλλα Android banking Trojans, το CherryBlos απαιτεί δικαιώματα προσβασιμότητας για να λειτουργήσει. Αυτές οι άδειες έχουν σχεδιαστεί για να βελτιώνουν τη χρηστικότητα για χρήστες με αναπηρίες, επιτρέποντας λειτουργίες όπως η ανάγνωση περιεχομένου στην οθόνη δυνατά, η αυτοματοποίηση εργασιών και η παροχή εναλλακτικών τρόπων αλληλεπίδρασης με τη συσκευή. Όταν ένας χρήστης ανοίγει την εφαρμογή που περιέχει το CherryBlos, ένα αναδυόμενο παράθυρο τον ζητά να ενεργοποιήσει τα δικαιώματα προσβασιμότητας.

Μόλις εγκατασταθεί το CherryBlos σε μια συσκευή, ανακτά δύο αρχεία διαμόρφωσης από το C2 του και αναπτύσσει διάφορες μεθόδους για να παραμείνει και να αποφύγει τους ελέγχους κατά του κακόβουλου λογισμικού. Οι μηχανισμοί επιμονής του κακόβουλου λογισμικού περιλαμβάνουν την αυτόματη χορήγηση αιτημάτων άδειας και την ανακατεύθυνση των χρηστών στην αρχική οθόνη όταν προσπαθούν να αποκτήσουν πρόσβαση στις ρυθμίσεις της εφαρμογής.

Στην καμπάνια FakeTrade, ο παράγοντας απειλών χρησιμοποίησε τουλάχιστον 31 ψεύτικες εφαρμογές Android για τη διανομή του κακόβουλου λογισμικού. Πολλές από αυτές τις εφαρμογές είχαν θέματα που σχετίζονταν με αγορές και οι χρήστες που υποστήριζαν ότι μπορούσαν να κερδίσουν χρήματα ολοκληρώνοντας εργασίες ή αγοράζοντας επιπλέον πιστώσεις. Ωστόσο, οι χρήστες που έπεσαν σε αυτό δεν μπόρεσαν να αποσύρουν τα κέρδη τους αργότερα. Αν και η Google αφαίρεσε όλες τις ψεύτικες εφαρμογές που σχετίζονται με την καμπάνια FakeTrade από το Play Store το 2021 και τα τρία πρώτα τρίμηνα του 2022, το κακόβουλο λογισμικό εξακολουθεί να αποτελεί σημαντική απειλή για τους χρήστες Android. Οι κυβερνοεγκληματίες χρησιμοποίησαν προηγμένες τεχνικές φοροδιαφυγής, όπως συσκευασία λογισμικού, συσκότιση και εκμετάλλευση της Υπηρεσίας Προσβασιμότητας του Android.

Συνολικά, οι καμπάνιες CherryBlos και FakeTrade έχουν τονίσει την ανάγκη για συνεχή επαγρύπνηση κατά τη χρήση συσκευών Android. Οι χρήστες θα πρέπει να είναι προσεκτικοί κατά τη λήψη εφαρμογών και να προσέχουν τις δελεαστικές προσφορές που φαίνονται πολύ καλές για να είναι αληθινές. Η τακτική ενημέρωση λογισμικού ασφαλείας και η επίγνωση των προσπαθειών ηλεκτρονικού ψαρέματος μπορεί να βοηθήσει στην προστασία από τέτοιες κακόβουλες καμπάνιες.