CherryBlos 移动恶意软件隐藏在假冒 Google Play 应用程序中

研究人员针对名为 CherryBlos 和 FakeTrade 的两个恶意软件活动发出了警告，这些活动旨在针对 Android 用户进行加密货币盗窃和其他出于经济动机的诈骗。这些活动背后的网络犯罪分子一直在通过 Google Play、社交媒体平台和网络钓鱼网站上的虚假 Android 应用程序传播恶意软件。

趋势科技在最近的一份报告中透露，其研究人员最近发现了这两种恶意软件菌株，并注意到它们使用相同的网络基础设施和应用程序证书。这表明这两个活动可能是同一威胁行为者所为。

CherryBlos 之所以脱颖而出，是因为它能够利用光学字符识别 (OCR) 来读取受感染设备上图像中的助记词短语，然后将该数据传输到其命令和控制服务器 (C2)。这些助记词在加密货币中使用，以方便加密钱包的恢复或恢复。该恶意软件背后的威胁行为者似乎并不针对特定地区，而是针对全球受害者。他们替换资源字符串并将这些恶意应用程序上传到不同的 Google Play 区域，包括马来西亚、越南、菲律宾、印度尼西亚、乌干达和墨西哥。

CherryBlos 瞄准加密钱包

CherryBlos 活动的重点是窃取与加密货币钱包相关的凭证，并在提款过程中更改受害者的钱包地址。为了推广包含恶意软件的虚假 Android 应用程序，该运营商使用 Telegram、TikTok 和 X（以前称为 Twitter）等平台来展示广告。这些广告通常会将用户引导至托管恶意应用程序的网络钓鱼网站。一些已识别的包含 CherryBlos 的假冒 Android 应用程序包括 GPTalk、Happy Miner、Robot99 和 SynthNet。

与其他 Android 银行木马类似，CherryBlos 需要辅助权限才能运行。这些权限旨在提高残障用户的可用性，启用大声朗读屏幕内容、自动化任务以及提供与设备交互的替代方式等功能。当用户打开包含 CherryBlos 的应用程序时，会弹出一个窗口，提示他们启用辅助功能权限。

一旦 CherryBlos 安装在设备上，它就会从其 C2 检索两个配置文件，并部署各种方法来持久保存并避免反恶意软件控制。该恶意软件的持久性机制包括自动授予权限请求以及当用户尝试访问应用程序的设置时将用户重定向到主屏幕。

在 FakeTrade 活动中，威胁行为者使用了至少 31 个伪造的 Android 应用程序来传播恶意软件。其中许多应用程序都有与购物相关的主题，并声称用户可以通过完成任务或购买额外积分来赚钱。然而，上当的用户随后无法提取收益。尽管谷歌于 2021 年和 2022 年前三个季度从 Play 商店中删除了与 FakeTrade 活动相关的所有虚假应用程序，但该恶意软件仍然对 Android 用户构成重大威胁。网络犯罪分子采用了先进的规避技术，例如软件打包、混淆和利用 Android 的辅助服务。

总体而言，CherryBlos 和 FakeTrade 活动强调了在使用 Android 设备时需要时刻保持警惕。用户在下载应用程序时应谨慎行事，并警惕那些看起来好得令人难以置信的诱人优惠。定期更新安全软件并了解网络钓鱼尝试有助于防范此类恶意活动。