CherryBlos モバイル マルウェアは偽の Google Play アプリに潜む

Android ユーザーをターゲットにして暗号通貨の盗難やその他の金銭目的の詐欺を目的とした、CherryBlos と FakeTrade という 2 つのマルウェア キャンペーンに関して研究者によって警告が発せられました。これらのキャンペーンの背後にいるサイバー犯罪者は、Google Play 上の偽の Android アプリケーション、ソーシャル メディア プラットフォーム、フィッシング Web サイトを通じてマルウェアを配布しています。

トレンドマイクロは最近のレポートで、同社の研究者らが最近両方のマルウェア株を発見し、それらが同じネットワークインフラストラクチャとアプリケーション証明書を利用していることに気づいたことを明らかにした。これは、同じ攻撃者が両方のキャンペーンに関与している可能性が高いことを示しています。

CherryBlos は、光学式文字認識 (OCR) を利用して、侵害されたデバイス上の画像内のニーモニック フレーズを読み取り、そのデータをコマンド アンド コントロール サーバー (C2) に送信する機能で際立っています。これらのニーモニックフレーズは、暗号通貨ウォレットの回復または復元を容易にするために暗号通貨で使用されます。このマルウェアの背後にある攻撃者は、特定の地域をターゲットにするのではなく、世界中の被害者をターゲットにしているようです。彼らはリソース文字列を置き換え、これらの悪意のあるアプリをマレーシア、ベトナム、フィリピン、インドネシア、ウガンダ、メキシコなどのさまざまな Google Play リージョンにアップロードします。

CherryBlos が仮想通貨ウォレットを狙う

CherryBlos キャンペーンは、仮想通貨ウォレット関連の認証情報を盗み、出金時に被害者のウォレット アドレスを変更することに重点を置いています。マルウェアを含む偽の Android アプリを宣伝するために、オペレーターは Telegram、TikTok、X (旧称 Twitter) などのプラットフォームを使用して広告を表示します。これらの広告は通常、悪意のあるアプリをホストするフィッシング サイトにユーザーを誘導します。 CherryBlos を含む特定された偽の Android アプリには、GPTalk、Happy Miner、Robot99、SynthNet などがあります。

他の Android バンキング トロイの木馬と同様に、CherryBlos が機能するにはアクセシビリティ権限が必要です。これらの権限は、障害のあるユーザーの使いやすさを向上させるために設計されており、画面コンテンツの読み上げ、タスクの自動化、デバイスと対話するための代替方法の提供などの機能を有効にします。ユーザーが CherryBlos を含むアプリを開くと、アクセシビリティ権限を有効にするよう求めるポップアップが表示されます。

CherryBlos がデバイスにインストールされると、C2 から 2 つの構成ファイルを取得し、マルウェア対策制御を永続化して回避するためのさまざまな方法を展開します。このマルウェアの永続化メカニズムには、ユーザーがアプリの設定にアクセスしようとしたときに自動的に許可リクエストを許可し、ユーザーをホーム画面にリダイレクトする機能が含まれています。

FakeTrade キャンペーンでは、攻撃者は少なくとも 31 の偽の Android アプリを使用してマルウェアを配布しました。これらのアプリの多くはショッピング関連のテーマを持っており、ユーザーはタスクを完了したり追加のクレジットを購入したりすることで収入を得ることができると主張していました。しかし、これに引っかかったユーザーは後で収益を引き出すことができなくなりました。 Googleは2021年と2022年の最初の3四半期にFakeTradeキャンペーンに関連するすべての偽アプリをPlayストアから削除したが、このマルウェアは依然としてAndroidユーザーにとって重大な脅威となっている。サイバー犯罪者は、ソフトウェアのパッキング、難読化、Android のアクセシビリティ サービスの悪用などの高度な回避技術を使用しました。

全体として、CherryBlos キャンペーンと FakeTrade キャンペーンは、Android デバイスを使用する際には常に警戒する必要があることを強調しました。ユーザーはアプリケーションをダウンロードする際には注意し、うますぎると思われる魅力的なオファーに注意する必要があります。セキュリティ ソフトウェアを定期的に更新し、フィッシングの試みに注意することは、このような悪意のあるキャンペーンから保護するのに役立ちます。