CherryBlos Mobile Malware ukrywa się w fałszywych aplikacjach Google Play

Badacze wydali ostrzeżenie w związku z dwiema kampaniami złośliwego oprogramowania o nazwach CherryBlos i FakeTrade, skierowanymi do użytkowników Androida w celu kradzieży kryptowalut i innych oszustw motywowanych finansowo. Cyberprzestępcy stojący za tymi kampaniami dystrybuują złośliwe oprogramowanie za pośrednictwem fałszywych aplikacji na Androida w Google Play, platform mediów społecznościowych i stron phishingowych.

Trend Micro w niedawnym raporcie ujawnił, że jego badacze niedawno odkryli oba rodzaje złośliwego oprogramowania i zauważyli, że wykorzystują one tę samą infrastrukturę sieciową i certyfikaty aplikacji. Oznacza to, że prawdopodobnie za obie kampanie odpowiada ten sam cyberprzestępca.

CherryBlos wyróżnia się zdolnością do wykorzystywania optycznego rozpoznawania znaków (OCR) do odczytywania fraz mnemonicznych w obrazach na zaatakowanych urządzeniach, a następnie przesyłania tych danych do swojego serwera dowodzenia i kontroli (C2). Te zwroty mnemoniczne są używane w kryptowalutach w celu ułatwienia odzyskania lub przywrócenia portfela kryptograficznego. Wygląda na to, że cyberprzestępca stojący za tym złośliwym oprogramowaniem nie atakuje określonego regionu, ale raczej ofiary na całym świecie. Zastępują ciągi zasobów i przesyłają te złośliwe aplikacje w różnych regionach Google Play, w tym w Malezji, Wietnamie, Filipinach, Indonezji, Ugandzie i Meksyku.

CherryBlos ściga portfele kryptowalut

Kampania CherryBlos koncentruje się na kradzieży danych uwierzytelniających portfela kryptowalut i zmianie adresu portfela ofiary podczas wypłat. Aby promować fałszywe aplikacje na Androida zawierające szkodliwe oprogramowanie, operator wykorzystuje platformy takie jak Telegram, TikTok i X (wcześniej znany jako Twitter) do wyświetlania reklam. Reklamy te zazwyczaj kierują użytkowników do stron phishingowych, na których znajdują się złośliwe aplikacje. Niektóre ze zidentyfikowanych fałszywych aplikacji na Androida zawierających CherryBlos to GPTalk, Happy Miner, Robot99 i SynthNet.

Podobnie jak inne trojany bankowe dla systemu Android, CherryBlos wymaga do działania uprawnień dostępu. Uprawnienia te mają na celu poprawę użyteczności dla użytkowników niepełnosprawnych, umożliwiając takie funkcje, jak czytanie na głos zawartości ekranu, automatyzacja zadań i zapewnienie alternatywnych sposobów interakcji z urządzeniem. Gdy użytkownik otworzy aplikację zawierającą CherryBlos, wyskakujące okienko poprosi o włączenie uprawnień dostępu.

Po zainstalowaniu CherryBlos na urządzeniu pobiera dwa pliki konfiguracyjne ze swojego C2 i wdraża różne metody w celu utrzymania i uniknięcia kontroli antymalware. Mechanizmy trwałości szkodliwego oprogramowania obejmują automatyczne udzielanie próśb o pozwolenie i przekierowywanie użytkowników do ekranu głównego, gdy próbują uzyskać dostęp do ustawień aplikacji.

W kampanii FakeTrade cyberprzestępca wykorzystał co najmniej 31 fałszywych aplikacji na Androida do dystrybucji szkodliwego oprogramowania. Wiele z tych aplikacji miało motywy związane z zakupami, a użytkownicy twierdzili, że mogą zarabiać pieniądze, wykonując zadania lub kupując dodatkowe kredyty. Jednak użytkownicy, którzy się na to nabrali, nie mogli później wypłacić swoich zarobków. Chociaż Google usunął wszystkie fałszywe aplikacje związane z kampanią FakeTrade ze Sklepu Play w 2021 roku i pierwszych trzech kwartałach 2022 roku, złośliwe oprogramowanie nadal stanowi poważne zagrożenie dla użytkowników Androida. Cyberprzestępcy zastosowali zaawansowane techniki unikania, takie jak pakowanie oprogramowania, zaciemnianie i wykorzystywanie usługi ułatwień dostępu Androida.

Ogólnie rzecz biorąc, kampanie CherryBlos i FakeTrade zwróciły uwagę na potrzebę stałej czujności podczas korzystania z urządzeń z systemem Android. Użytkownicy powinni zachować ostrożność podczas pobierania aplikacji i uważać na kuszące oferty, które wydają się zbyt piękne, aby mogły być prawdziwe. Regularne aktualizowanie oprogramowania zabezpieczającego i świadomość prób wyłudzania informacji może pomóc w ochronie przed takimi złośliwymi kampaniami.