Вредоносное ПО CherryBlos Mobile прячется в поддельных приложениях Google Play

Исследователи выпустили предупреждение о двух кампаниях вредоносных программ под названием CherryBlos и FakeTrade, направленных на пользователей Android для кражи криптовалюты и других мошенничеств с финансовой мотивацией. Киберпреступники, стоящие за этими кампаниями, распространяли вредоносное ПО через поддельные приложения Android в Google Play, социальных сетях и на фишинговых сайтах.

Trend Micro в недавнем отчете сообщила, что ее исследователи недавно обнаружили оба штамма вредоносного ПО и заметили, что они используют одну и ту же сетевую инфраструктуру и сертификаты приложений. Это указывает на то, что за обе кампании, вероятно, отвечает один и тот же злоумышленник.

CherryBlos выделяется своей способностью использовать оптическое распознавание символов (OCR) для чтения мнемонических фраз в изображениях на скомпрометированных устройствах, а затем передавать эти данные на свой сервер управления и контроля (C2). Эти мнемонические фразы используются в криптовалюте для облегчения восстановления или восстановления криптокошелька. Злоумышленник, стоящий за этой вредоносной программой, похоже, нацелен не на конкретный регион, а на жертв по всему миру. Они заменяют строки ресурсов и загружают эти вредоносные приложения в разные регионы Google Play, включая Малайзию, Вьетнам, Филиппины, Индонезию, Уганду и Мексику.

CherryBlos идет за криптовалютными кошельками

Кампания CherryBlos направлена на кражу учетных данных, связанных с криптовалютным кошельком, и изменение адреса кошелька жертвы во время вывода средств. Для продвижения поддельных Android-приложений, содержащих вредоносное ПО, оператор использует такие платформы, как Telegram, TikTok и X (ранее известный как Twitter) для показа рекламы. Эти объявления обычно направляют пользователей на фишинговые сайты, на которых размещены вредоносные приложения. Некоторые из выявленных поддельных приложений для Android, содержащих CherryBlos, включают GPTalk, Happy Miner, Robot99 и SynthNet.

Как и другим банковским троянцам Android, для работы CherryBlos требуются права доступа. Эти разрешения предназначены для повышения удобства использования для пользователей с ограниченными возможностями, включая такие функции, как чтение содержимого экрана вслух, автоматизацию задач и предоставление альтернативных способов взаимодействия с устройством. Когда пользователь открывает приложение, содержащее CherryBlos, всплывающее окно предлагает им включить разрешения доступа.

После того как CherryBlos установлен на устройстве, он извлекает два файла конфигурации со своего C2 и развертывает различные методы для сохранения и предотвращения средств защиты от вредоносных программ. Механизмы устойчивости вредоносного ПО включают автоматическое предоставление запросов на разрешение и перенаправление пользователей на главный экран, когда они пытаются получить доступ к настройкам приложения.

В кампании FakeTrade злоумышленник использовал не менее 31 поддельного приложения для Android для распространения вредоносного ПО. Многие из этих приложений имели темы, связанные с покупками, и утверждали, что пользователи могут зарабатывать деньги, выполняя задания или приобретая дополнительные кредиты. Однако пользователи, попавшиеся на это, не смогли позже вывести свои заработки. Хотя Google удалил все поддельные приложения, связанные с кампанией FakeTrade, из Play Store в 2021 году и в первые три квартала 2022 года, вредоносное ПО по-прежнему представляет серьезную угрозу для пользователей Android. Киберпреступники использовали передовые методы уклонения, такие как упаковка программного обеспечения, обфускация и использование службы специальных возможностей Android.

В целом, кампании CherryBlos и FakeTrade подчеркнули необходимость постоянной бдительности при использовании устройств Android. Пользователи должны проявлять осторожность при загрузке приложений и опасаться заманчивых предложений, которые кажутся слишком хорошими, чтобы быть правдой. Регулярное обновление программного обеспечения безопасности и осведомленность о попытках фишинга могут помочь защититься от таких вредоносных кампаний.