CherryBlos Mobile Malware skjuler seg i falske Google Play-apper

En advarsel har blitt utstedt av forskere angående to malware-kampanjer kalt CherryBlos og FakeTrade, rettet mot Android-brukere for tyveri av kryptovaluta og annen økonomisk motivert svindel. Nettkriminelle bak disse kampanjene har distribuert skadelig programvare gjennom falske Android-applikasjoner på Google Play, sosiale medieplattformer og phishing-nettsteder.

Trend Micro, i en fersk rapport, avslørte at forskerne nylig hadde oppdaget begge malware-stammer og hadde lagt merke til at de brukte samme nettverksinfrastruktur og applikasjonssertifikater. Dette indikerer at den samme trusselaktøren sannsynligvis er ansvarlig for begge kampanjene.

CherryBlos skiller seg ut på grunn av sin evne til å bruke optisk tegngjenkjenning (OCR) for å lese mnemoniske setninger i bilder på kompromitterte enheter og deretter overføre disse dataene til sin kommando-og-kontroll-server (C2). Disse mnemoniske setningene brukes i kryptovaluta for å lette gjenoppretting eller gjenoppretting av en kryptolommebok. Trusselaktøren bak denne skadelige programvaren ser ikke ut til å være rettet mot en bestemt region, men snarere mot ofre over hele verden. De erstatter ressursstrenger og laster opp disse ondsinnede appene i forskjellige Google Play-regioner, inkludert Malaysia, Vietnam, Filippinene, Indonesia, Uganda og Mexico.

CherryBlos går etter kryptolommebøker

CherryBlos-kampanjen fokuserer på å stjele cryptocurrency lommebok-relaterte legitimasjoner og endre et offers lommebokadresse under uttak. For å markedsføre de falske Android-appene som inneholder skadelig programvare, bruker operatøren plattformer som Telegram, TikTok og X (tidligere kjent som Twitter) for å vise annonser. Disse annonsene leder vanligvis brukere til phishing-nettsteder som er vert for de skadelige appene. Noen av de identifiserte falske Android-appene som inneholder CherryBlos inkluderer GPTalk, Happy Miner, Robot99 og SynthNet.

I likhet med andre Android-banktrojanere, krever CherryBlos tilgjengelighetstillatelser for å fungere. Disse tillatelsene er utformet for å forbedre brukervennligheten for brukere med funksjonshemminger, og aktivere funksjoner som å lese skjerminnhold høyt, automatisere oppgaver og tilby alternative måter å samhandle med enheten på. Når en bruker åpner appen som inneholder CherryBlos, ber en popup dem om å aktivere tilgjengelighetstillatelser.

Når CherryBlos er installert på en enhet, henter den to konfigurasjonsfiler fra sin C2 og distribuerer forskjellige metoder for å vedvare og unngå anti-malware-kontroller. Skadevarens utholdenhetsmekanismer inkluderer automatisk å gi tillatelsesforespørsler og omdirigere brukere til startskjermen når de prøver å få tilgang til appens innstillinger.

I FakeTrade-kampanjen brukte trusselaktøren minst 31 falske Android-apper for å distribuere skadelig programvare. Mange av disse appene hadde shoppingrelaterte temaer og hevdet at brukere kunne tjene penger ved å fullføre oppgaver eller kjøpe ekstra kreditter. Brukere som falt for dette kunne imidlertid ikke ta ut inntektene sine senere. Selv om Google fjernet alle de falske appene knyttet til FakeTrade-kampanjen fra Play Store i 2021 og de tre første kvartalene av 2022, utgjør skadevare fortsatt en betydelig trussel mot Android-brukere. Nettkriminelle brukte avanserte unnvikelsesteknikker som programvarepakking, tilsløring og utnyttelse av Androids tilgjengelighetstjeneste.

Samlet sett har CherryBlos- og FakeTrade-kampanjene fremhevet behovet for konstant årvåkenhet når du bruker Android-enheter. Brukere bør utvise forsiktighet mens de laster ned applikasjoner og være på vakt mot fristende tilbud som virker for gode til å være sanne. Regelmessig oppdatering av sikkerhetsprogramvare og å være oppmerksom på phishing-forsøk kan bidra til å beskytte mot slike ondsinnede kampanjer.