CherryBlos 移動惡意軟件隱藏在假冒 Google Play 應用程序中

研究人員針對名為 CherryBlos 和 FakeTrade 的兩個惡意軟件活動發出了警告，這些活動旨在針對 Android 用戶進行加密貨幣盜竊和其他出於經濟動機的詐騙。這些活動背後的網絡犯罪分子一直在通過 Google Play、社交媒體平台和網絡釣魚網站上的虛假 Android 應用程序傳播惡意軟件。

趨勢科技在最近的一份報告中透露，其研究人員最近發現了這兩種惡意軟件菌株，並註意到它們使用相同的網絡基礎設施和應用程序證書。這表明這兩個活動可能是同一威脅行為者所為。

CherryBlos 之所以脫穎而出，是因為它能夠利用光學字符識別 (OCR) 來讀取受感染設備上圖像中的助記詞短語，然後將該數據傳輸到其命令和控制服務器 (C2)。這些助記詞在加密貨幣中使用，以方便加密錢包的恢復或恢復。該惡意軟件背後的威脅行為者似乎並不針對特定地區，而是針對全球受害者。他們替換資源字符串並將這些惡意應用程序上傳到不同的 Google Play 區域，包括馬來西亞、越南、菲律賓、印度尼西亞、烏干達和墨西哥。

CherryBlos 瞄準加密錢包

CherryBlos 活動的重點是竊取與加密貨幣錢包相關的憑證，並在提款過程中更改受害者的錢包地址。為了推廣包含惡意軟件的虛假 Android 應用程序，該運營商使用 Telegram、TikTok 和 X（以前稱為 Twitter）等平台來展示廣告。這些廣告通常會將用戶引導至託管惡意應用程序的網絡釣魚網站。一些已識別的包含 CherryBlos 的假冒 Android 應用程序包括 GPTalk、Happy Miner、Robot99 和 SynthNet。

與其他 Android 銀行木馬類似，CherryBlos 需要輔助權限才能運行。這些權限旨在提高殘障用戶的可用性，啟用大聲朗讀屏幕內容、自動化任務以及提供與設備交互的替代方式等功能。當用戶打開包含 CherryBlos 的應用程序時，會彈出一個窗口，提示他們啟用輔助功能權限。

一旦 CherryBlos 安裝在設備上，它就會從其 C2 檢索兩個配置文件，並部署各種方法來持久保存並避免反惡意軟件控制。該惡意軟件的持久性機制包括自動授予權限請求以及當用戶嘗試訪問應用程序的設置時將用戶重定向到主屏幕。

在 FakeTrade 活動中，威脅行為者使用了至少 31 個偽造的 Android 應用程序來傳播惡意軟件。其中許多應用程序都有與購物相關的主題，並聲稱用戶可以通過完成任務或購買額外積分來賺錢。然而，上當的用戶隨後無法提取收益。儘管谷歌於 2021 年和 2022 年前三個季度從 Play 商店中刪除了與 FakeTrade 活動相關的所有虛假應用程序，但該惡意軟件仍然對 Android 用戶構成重大威脅。網絡犯罪分子採用了先進的規避技術，例如軟件打包、混淆和利用 Android 的輔助服務。

總體而言，CherryBlos 和 FakeTrade 活動強調了在使用 Android 設備時需要時刻保持警惕。用戶在下載應用程序時應謹慎行事，並警惕那些看起來好得令人難以置信的誘人優惠。定期更新安全軟件並了解網絡釣魚嘗試有助於防範此類惡意活動。