Il malware mobile CherryBlos si nasconde nelle app false di Google Play

I ricercatori hanno emesso un avviso in merito a due campagne di malware denominate CherryBlos e FakeTrade, volte a prendere di mira gli utenti Android per furto di criptovaluta e altre truffe motivate finanziariamente. I criminali informatici dietro queste campagne hanno distribuito il malware tramite false applicazioni Android su Google Play, piattaforme di social media e siti Web di phishing.

Trend Micro, in un recente rapporto, ha rivelato che i suoi ricercatori avevano recentemente scoperto entrambi i ceppi di malware e avevano notato che stavano utilizzando la stessa infrastruttura di rete e certificati applicativi. Ciò indica che lo stesso autore di minacce è probabilmente responsabile di entrambe le campagne.

CherryBlos si distingue per la sua capacità di utilizzare il riconoscimento ottico dei caratteri (OCR) per leggere frasi mnemoniche nelle immagini su dispositivi compromessi e quindi trasmettere questi dati al suo server di comando e controllo (C2). Queste frasi mnemoniche vengono utilizzate nelle criptovalute per facilitare il recupero o il ripristino di un portafoglio crittografico. L'autore della minaccia dietro questo malware non sembra prendere di mira una regione specifica, ma piuttosto vittime in tutto il mondo. Sostituiscono le stringhe di risorse e caricano queste app dannose in diverse regioni di Google Play, tra cui Malesia, Vietnam, Filippine, Indonesia, Uganda e Messico.

CherryBlos va alla ricerca di portafogli crittografici

La campagna CherryBlos si concentra sul furto di credenziali relative al portafoglio di criptovaluta e sull'alterazione dell'indirizzo del portafoglio di una vittima durante i prelievi. Per promuovere le false app Android contenenti il malware, l'operatore utilizza piattaforme come Telegram, TikTok e X (precedentemente noto come Twitter) per visualizzare annunci. Questi annunci in genere indirizzano gli utenti a siti di phishing che ospitano le app dannose. Alcune delle false app Android identificate contenenti CherryBlos includono GPTalk, Happy Miner, Robot99 e SynthNet.

Simile ad altri trojan bancari Android, CherryBlos richiede autorizzazioni di accessibilità per funzionare. Queste autorizzazioni sono progettate per migliorare l'usabilità per gli utenti con disabilità, abilitando funzionalità come la lettura ad alta voce del contenuto dello schermo, automatizzando le attività e fornendo modi alternativi per interagire con il dispositivo. Quando un utente apre l'app contenente CherryBlos, un popup gli chiede di abilitare le autorizzazioni di accessibilità.

Una volta che CherryBlos è installato su un dispositivo, recupera due file di configurazione dal suo C2 e distribuisce vari metodi per persistere ed evitare i controlli anti-malware. I meccanismi di persistenza del malware includono la concessione automatica delle richieste di autorizzazione e il reindirizzamento degli utenti alla schermata iniziale quando tentano di accedere alle impostazioni dell'app.

Nella campagna FakeTrade, l'autore della minaccia ha utilizzato almeno 31 app Android false per distribuire il malware. Molte di queste app avevano temi relativi allo shopping e gli utenti dichiarati potevano guadagnare denaro completando attività o acquistando crediti aggiuntivi. Tuttavia, gli utenti che si sono innamorati di questo non sono stati in grado di ritirare i propri guadagni in seguito. Sebbene Google abbia rimosso tutte le app false associate alla campagna FakeTrade dal Play Store nel 2021 e nei primi tre trimestri del 2022, il malware rappresenta ancora una minaccia significativa per gli utenti Android. I criminali informatici hanno utilizzato tecniche di evasione avanzate come l'impacchettamento del software, l'offuscamento e lo sfruttamento del servizio di accessibilità di Android.

Nel complesso, le campagne CherryBlos e FakeTrade hanno evidenziato la necessità di una vigilanza costante quando si utilizzano dispositivi Android. Gli utenti dovrebbero prestare attenzione durante il download delle applicazioni e diffidare di offerte allettanti che sembrano troppo belle per essere vere. L'aggiornamento regolare del software di sicurezza e la consapevolezza dei tentativi di phishing possono aiutare a proteggersi da tali campagne dannose.