A CherryBlos Mobile rosszindulatú program hamis Google Play-alkalmazásokban rejtőzik

Figyelmeztetést adtak ki kutatók a CherryBlos és a FakeTrade nevű két malware-kampány miatt, amelyek célja az Android-felhasználók kriptovaluta-lopása és más, pénzügyi indíttatású csalások megcélzása. A kampányok mögött álló kiberbűnözők a rosszindulatú programokat hamis Android-alkalmazásokon keresztül terjesztették a Google Playen, közösségi média platformokon és adathalász webhelyeken.

A Trend Micro egy közelmúltbeli jelentésében felfedte, hogy kutatói nemrég fedezték fel mindkét rosszindulatú program törzset, és észrevették, hogy ugyanazt a hálózati infrastruktúrát és alkalmazástanúsítványokat használják. Ez azt jelzi, hogy valószínűleg ugyanaz a fenyegetett szereplő felelős mindkét kampányért.

A CherryBlos kiemelkedik azzal a képességével, hogy képes optikai karakterfelismerést (OCR) alkalmazni a kompromittált eszközökön lévő képek emlékező frázisainak olvasására, majd ezeket az adatokat a parancs- és vezérlőszerverére (C2) továbbítja. Ezeket az emlékező kifejezéseket a kriptovalutában használják, hogy megkönnyítsék a kriptopénztárca helyreállítását vagy helyreállítását. Úgy tűnik, hogy a kártevő mögött fenyegető szereplő nem egy adott régiót céloz meg, hanem áldozatokat világszerte. Lecserélik az erőforrás-karakterláncokat, és feltöltik ezeket a rosszindulatú alkalmazásokat a Google Play különböző régióiban, köztük Malajziában, Vietnamban, a Fülöp-szigeteken, Indonéziában, Ugandában és Mexikóban.

A CherryBlos a kripto pénztárcák után megy

A CherryBlos kampány a kriptovaluta pénztárcával kapcsolatos hitelesítő adatok ellopására és az áldozat pénztárca címének megváltoztatására összpontosít a pénzfelvétel során. A kártevőt tartalmazó hamis Android-alkalmazások népszerűsítésére az üzemeltető olyan platformokat használ, mint a Telegram, a TikTok és az X (korábbi nevén Twitter) hirdetések megjelenítésére. Ezek a hirdetések általában a rosszindulatú alkalmazásokat tartalmazó adathalász webhelyekre irányítják a felhasználókat. A CherryBlos-t tartalmazó, azonosított hamis Android-alkalmazások közé tartozik a GPTalk, a Happy Miner, a Robot99 és a SynthNet.

A többi Android banki trójaihoz hasonlóan a CherryBlos működéséhez kisegítő lehetőségekre van szükség. Ezeket az engedélyeket úgy tervezték, hogy javítsák a fogyatékkal élő felhasználók használhatóságát, lehetővé téve az olyan funkciókat, mint a képernyőn lévő tartalom hangos felolvasása, a feladatok automatizálása és az eszközzel való interakció alternatív módjai. Amikor a felhasználó megnyitja a CherryBlos alkalmazást, egy felugró ablak felkéri, hogy engedélyezze a kisegítő lehetőségeket.

Amint a CherryBlos telepítve van egy eszközre, lekér két konfigurációs fájlt a C2-ről, és különféle módszereket alkalmaz a rosszindulatú programok elhárítása és elkerülése érdekében. A rosszindulatú program fennmaradási mechanizmusai közé tartozik az engedélykérések automatikus megadása és a felhasználók átirányítása a kezdőképernyőre, amikor megpróbálják elérni az alkalmazás beállításait.

A FakeTrade kampányban a fenyegetés szereplője legalább 31 hamis Android-alkalmazást használt a kártevő terjesztésére. Ezen alkalmazások közül sok vásárlással kapcsolatos témájú volt, és azt állították, hogy a felhasználók pénzt kereshetnek feladatok elvégzésével vagy további kreditek vásárlásával. Az erre esett felhasználók azonban nem tudták később kivenni bevételeiket. Bár a Google 2021-ben és 2022 első három negyedévében eltávolította a FakeTrade kampányhoz kapcsolódó összes hamis alkalmazást a Play Áruházból, a rosszindulatú program továbbra is jelentős veszélyt jelent az Android-felhasználók számára. A kiberbűnözők olyan fejlett kijátszási technikákat alkalmaztak, mint a szoftvercsomagolás, az elhomályosítás és az Android akadálymentesítési szolgáltatásának kihasználása.

Összességében a CherryBlos és a FakeTrade kampányok rávilágítottak az állandó éberség szükségességére Android-eszközök használatakor. A felhasználóknak óvatosnak kell lenniük az alkalmazások letöltése közben, és óvakodniuk kell az olyan csábító ajánlatoktól, amelyek túl szépnek tűnnek ahhoz, hogy igazak legyenek. A biztonsági szoftverek rendszeres frissítése és az adathalász kísérletek tudatosítása segíthet az ilyen rosszindulatú kampányok elleni védelemben.