CherryBlos mobil skadlig programvara gömmer sig i falska Google Play-appar

En varning har utfärdats av forskare angående två skadliga kampanjer vid namn CherryBlos och FakeTrade, som syftar till att rikta in sig på Android-användare för stöld av kryptovalutor och andra ekonomiskt motiverade bedrägerier. De cyberkriminella bakom dessa kampanjer har distribuerat skadlig programvara genom falska Android-applikationer på Google Play, sociala medieplattformar och nätfiskewebbplatser.

Trend Micro, i en färsk rapport, avslöjade att dess forskare nyligen hade upptäckt båda skadliga stammar och hade märkt att de använde samma nätverksinfrastruktur och applikationscertifikat. Detta indikerar att samma hotaktör sannolikt är ansvarig för båda kampanjerna.

CherryBlos utmärker sig på grund av sin förmåga att använda optisk teckenigenkänning (OCR) för att läsa mnemoniska fraser i bilder på komprometterade enheter och sedan överföra dessa data till sin kommando-och-kontrollserver (C2). Dessa mnemoniska fraser används i kryptovaluta för att underlätta återställning eller återställning av en kryptoplånbok. Hotaktören bakom denna skadliga programvara verkar inte rikta sig mot en specifik region utan snarare mot offer över hela världen. De ersätter resurssträngar och laddar upp dessa skadliga appar i olika Google Play-regioner, inklusive Malaysia, Vietnam, Filippinerna, Indonesien, Uganda och Mexiko.

CherryBlos går efter kryptoplånböcker

CherryBlos-kampanjen fokuserar på att stjäla cryptocurrency-plånboksrelaterade autentiseringsuppgifter och ändra ett offers plånboksadress under uttag. För att marknadsföra de falska Android-apparna som innehåller skadlig programvara, använder operatören plattformar som Telegram, TikTok och X (tidigare känd som Twitter) för att visa annonser. Dessa annonser leder vanligtvis användare till nätfiskewebbplatser som är värd för de skadliga apparna. Några av de identifierade falska Android-apparna som innehåller CherryBlos inkluderar GPTalk, Happy Miner, Robot99 och SynthNet.

I likhet med andra Android-banktrojaner kräver CherryBlos tillgänglighetsbehörigheter för att fungera. Dessa behörigheter är utformade för att förbättra användbarheten för användare med funktionshinder, möjliggöra funktioner som att läsa skärminnehåll högt, automatisera uppgifter och tillhandahålla alternativa sätt att interagera med enheten. När en användare öppnar appen som innehåller CherryBlos, uppmanar en popup dem att aktivera tillgänglighetsbehörigheter.

När CherryBlos väl har installerats på en enhet, hämtar den två konfigurationsfiler från sin C2 och distribuerar olika metoder för att bevara och undvika kontroller mot skadlig programvara. Skadlig programvaras beständighetsmekanismer inkluderar att automatiskt bevilja tillståndsbegäranden och omdirigera användare till startskärmen när de försöker komma åt appens inställningar.

I FakeTrade-kampanjen använde hotaktören minst 31 falska Android-appar för att distribuera skadlig programvara. Många av dessa appar hade shoppingrelaterade teman och hävdade att användare kunde tjäna pengar genom att slutföra uppgifter eller köpa ytterligare krediter. Användare som föll för detta kunde dock inte ta ut sina intäkter senare. Även om Google tog bort alla falska appar associerade med FakeTrade-kampanjen från Play Butik 2021 och de tre första kvartalen 2022, utgör skadlig programvara fortfarande ett betydande hot mot Android-användare. Cyberbrottslingarna använde avancerade undanflyktstekniker som mjukvarupaketering, förvirring och utnyttjande av Androids tillgänglighetstjänst.

Sammantaget har CherryBlos- och FakeTrade-kampanjerna belyst behovet av konstant vaksamhet när du använder Android-enheter. Användare bör vara försiktiga när de laddar ner applikationer och vara försiktig med lockande erbjudanden som verkar för bra för att vara sanna. Att regelbundet uppdatera säkerhetsprogramvara och vara medveten om nätfiskeförsök kan hjälpa till att skydda mot sådana skadliga kampanjer.