O malware móvel CherryBlos se esconde em aplicativos falsos do Google Play

Um alerta foi emitido por pesquisadores sobre duas campanhas de malware chamadas CherryBlos e FakeTrade, destinadas a usuários do Android para roubo de criptomoedas e outros golpes motivados financeiramente. Os cibercriminosos por trás dessas campanhas têm distribuído o malware por meio de aplicativos Android falsos no Google Play, plataformas de mídia social e sites de phishing.

A Trend Micro, em um relatório recente, revelou que seus pesquisadores descobriram recentemente ambas as variedades de malware e perceberam que estavam utilizando a mesma infraestrutura de rede e certificados de aplicativo. Isso indica que o mesmo agente de ameaça provavelmente é responsável por ambas as campanhas.

O CherryBlos se destaca por sua capacidade de empregar o reconhecimento óptico de caracteres (OCR) para ler frases mnemônicas em imagens em dispositivos comprometidos e, em seguida, transmitir esses dados para seu servidor de comando e controle (C2). Essas frases mnemônicas são usadas em criptomoedas para facilitar a recuperação ou restauração de uma carteira criptográfica. O agente da ameaça por trás desse malware não parece ter como alvo uma região específica, mas sim vítimas em todo o mundo. Eles substituem cadeias de recursos e carregam esses aplicativos maliciosos em diferentes regiões do Google Play, incluindo Malásia, Vietnã, Filipinas, Indonésia, Uganda e México.

CherryBlos vai atrás de carteiras criptográficas

A campanha CherryBlos se concentra em roubar credenciais relacionadas à carteira de criptomoeda e alterar o endereço da carteira da vítima durante saques. Para promover os aplicativos Android falsos que contêm o malware, a operadora usa plataformas como Telegram, TikTok e X (anteriormente conhecido como Twitter) para exibir anúncios. Esses anúncios normalmente direcionam os usuários para sites de phishing que hospedam os aplicativos maliciosos. Alguns dos aplicativos Android falsos identificados contendo CherryBlos incluem GPTalk, Happy Miner, Robot99 e SynthNet.

Semelhante a outros Trojan bancários do Android, o CherryBlos requer permissões de acessibilidade para funcionar. Essas permissões são projetadas para melhorar a usabilidade para usuários com deficiências, habilitando recursos como ler o conteúdo da tela em voz alta, automatizar tarefas e fornecer maneiras alternativas de interagir com o dispositivo. Quando um usuário abre o aplicativo contendo CherryBlos, um pop-up solicita que ele habilite as permissões de acessibilidade.

Depois que o CherryBlos é instalado em um dispositivo, ele recupera dois arquivos de configuração de seu C2 e implanta vários métodos para persistir e evitar controles antimalware. Os mecanismos de persistência do malware incluem conceder automaticamente solicitações de permissão e redirecionar os usuários para a tela inicial quando eles tentam acessar as configurações do aplicativo.

Na campanha FakeTrade, o agente da ameaça usou pelo menos 31 aplicativos Android falsos para distribuir o malware. Muitos desses aplicativos tinham temas relacionados a compras e afirmavam que os usuários podiam ganhar dinheiro concluindo tarefas ou comprando créditos adicionais. No entanto, os usuários que caíram nessa não conseguiram sacar seus ganhos posteriormente. Embora o Google tenha removido todos os aplicativos falsos associados à campanha FakeTrade da Play Store em 2021 e nos três primeiros trimestres de 2022, o malware ainda representa uma ameaça significativa para os usuários do Android. Os cibercriminosos empregaram técnicas avançadas de evasão, como compactação de software, ofuscação e exploração do serviço de acessibilidade do Android.

No geral, as campanhas CherryBlos e FakeTrade destacaram a necessidade de vigilância constante ao usar dispositivos Android. Os usuários devem ter cuidado ao baixar aplicativos e ter cuidado com ofertas atraentes que parecem boas demais para ser verdade. Atualizar regularmente o software de segurança e estar ciente das tentativas de phishing pode ajudar a proteger contra essas campanhas maliciosas.