CherryBlos Mobile Malware se cache dans de fausses applications Google Play

Un avertissement a été émis par des chercheurs concernant deux campagnes de logiciels malveillants nommées CherryBlos et FakeTrade, visant à cibler les utilisateurs d'Android pour le vol de crypto-monnaie et d'autres escroqueries à motivation financière. Les cybercriminels à l'origine de ces campagnes ont distribué le logiciel malveillant via de fausses applications Android sur Google Play, des plateformes de médias sociaux et des sites Web de phishing.

Trend Micro, dans un rapport récent, a révélé que ses chercheurs avaient récemment découvert les deux souches de logiciels malveillants et avaient remarqué qu'ils utilisaient la même infrastructure réseau et les mêmes certificats d'application. Cela indique que le même acteur menaçant est probablement responsable des deux campagnes.

CherryBlos se distingue par sa capacité à utiliser la reconnaissance optique de caractères (OCR) pour lire des phrases mnémoniques dans les images sur des appareils compromis, puis transmettre ces données à son serveur de commande et de contrôle (C2). Ces phrases mnémoniques sont utilisées dans la crypto-monnaie pour faciliter la récupération ou la restauration d'un portefeuille crypto. L'acteur de la menace derrière ce logiciel malveillant ne semble pas cibler une région spécifique, mais plutôt des victimes dans le monde entier. Ils remplacent les chaînes de ressources et téléchargent ces applications malveillantes dans différentes régions de Google Play, notamment la Malaisie, le Vietnam, les Philippines, l'Indonésie, l'Ouganda et le Mexique.

CherryBlos s'attaque aux portefeuilles cryptographiques

La campagne CherryBlos se concentre sur le vol d'informations d'identification liées au portefeuille de crypto-monnaie et la modification de l'adresse du portefeuille d'une victime lors des retraits. Pour promouvoir les fausses applications Android contenant le malware, l'opérateur utilise des plateformes telles que Telegram, TikTok et X (anciennement Twitter) pour afficher des publicités. Ces publicités dirigent généralement les utilisateurs vers des sites de phishing hébergeant les applications malveillantes. Certaines des fausses applications Android identifiées contenant CherryBlos incluent GPTalk, Happy Miner, Robot99 et SynthNet.

Semblable à d'autres chevaux de Troie bancaires Android, CherryBlos nécessite des autorisations d'accessibilité pour fonctionner. Ces autorisations sont conçues pour améliorer la convivialité pour les utilisateurs handicapés, en activant des fonctionnalités telles que la lecture à haute voix du contenu de l'écran, en automatisant les tâches et en offrant d'autres moyens d'interagir avec l'appareil. Lorsqu'un utilisateur ouvre l'application contenant CherryBlos, une fenêtre contextuelle l'invite à activer les autorisations d'accessibilité.

Une fois CherryBlos installé sur un appareil, il récupère deux fichiers de configuration de son C2 et déploie diverses méthodes pour persister et éviter les contrôles anti-malware. Les mécanismes de persistance du logiciel malveillant incluent l'octroi automatique des demandes d'autorisation et la redirection des utilisateurs vers l'écran d'accueil lorsqu'ils tentent d'accéder aux paramètres de l'application.

Dans la campagne FakeTrade, l'acteur menaçant a utilisé au moins 31 fausses applications Android pour distribuer le malware. Beaucoup de ces applications avaient des thèmes liés au shopping et affirmaient que les utilisateurs pouvaient gagner de l'argent en accomplissant des tâches ou en achetant des crédits supplémentaires. Cependant, les utilisateurs qui sont tombés dans le piège n'ont pas pu retirer leurs gains plus tard. Bien que Google ait supprimé toutes les fausses applications associées à la campagne FakeTrade du Play Store en 2021 et au cours des trois premiers trimestres de 2022, le logiciel malveillant constitue toujours une menace importante pour les utilisateurs d'Android. Les cybercriminels ont utilisé des techniques d'évasion avancées telles que l'empaquetage de logiciels, l'obscurcissement et l'exploitation du service d'accessibilité d'Android.

Dans l'ensemble, les campagnes CherryBlos et FakeTrade ont mis en évidence la nécessité d'une vigilance constante lors de l'utilisation d'appareils Android. Les utilisateurs doivent faire preuve de prudence lorsqu'ils téléchargent des applications et se méfier des offres alléchantes qui semblent trop belles pour être vraies. La mise à jour régulière des logiciels de sécurité et la sensibilisation aux tentatives de phishing peuvent aider à se protéger contre de telles campagnes malveillantes.