دو خانواده بدافزار جدید اندرویدی به نامهای CherryBlos و FakeTrade در Google Play کشف شدند که هدفشان سرقت اعتبارنامه ارزهای دیجیتال و سرقت وجوه یا کلاهبرداری بود. گونههای بدافزار جدید توسط Trend Micro کشف شدند که هر دو را با استفاده از زیرساختهای شبکه و گواهیهای مشابه مشاهده کردند که نشان میدهد عوامل تهدید یکسانی آنها را ایجاد کردهاند. برنامههای مخرب از کانالهای توزیع مختلف، از جمله رسانههای اجتماعی، سایتهای فیشینگ و برنامههای خرید فریبنده در Google Play، فروشگاه برنامه رسمی اندروید استفاده میکنند.
بدافزار CherryBlos برای اولین بار در آوریل 2023، در قالب یک فایل APK (بسته اندرویدی) که در تلگرام، توییتر و یوتیوب تبلیغ شده بود، تحت پوشش ابزارهای هوش مصنوعی یا استخراجکننده سکه توزیع شد.
ویدیوی YouTube در حال تبلیغ یک برنامه حامل CherryBlos (Trend Micro)
نامهای مورد استفاده برای APKهای مخرب GPTalk، Happy Miner، Robot999، و SynthNet هستند که از وبسایتهای زیر با نامهای دامنه منطبق دانلود شدهاند:
یک برنامه مخرب Synthnet نیز در فروشگاه Google Play آپلود شد، و قبل از آنکه گزارش و حذف شود، تقریباً هزار بار دانلود شد. CherryBlos یک دزد ارز دیجیتال است که از مجوزهای سرویس Accessibility برای دریافت دو فایل پیکربندی از سرور C2، تأیید خودکار مجوزهای اضافی و جلوگیری از کشتن برنامه تروجان شده توسط کاربر سوء استفاده میکند.
CherryBlos از طیف وسیعی از تاکتیکها برای سرقت اعتبار و داراییهای ارزهای دیجیتال استفاده میکند که تاکتیک اصلی آن بارگذاری رابطهای کاربری جعلی است که از برنامههای رسمی تقلید میکنند تا با استفاده از فیشینگ، اعتبارنامه دریافت کنند.
اما یک ویژگی جالبتر، استفاده از OCR است. به عنوان مثال، هنگام راهاندازی کیف پولهای ارز دیجیتال جدید به کاربران عبارت/رمز عبور بازیابی شامل ۱۲ کلمه یا بیشتر داده میشود که میتواند برای بازیابی کیف پول در رایانه استفاده شود. برخی کاربران از این رمز، عکس میگیرند، هر چند این کار توصیه نمیشود. این بدافزار میتواند با استفاده از OCR، رمز را از این عکسها استخراج کند.
تحلیلگران Trend Micro اتصالاتی به یک کمپین در Google Play پیدا کردند که در آن 31 برنامه کلاهبرداری که مجموعاً "FakeTrade" نامیده میشود از زیرساختها و گواهیهای شبکه C2 یکسان با برنامههای CherryBlos استفاده میکردند. این برنامهها از تمهای خرید یا فریبهای پولسازی استفاده میکنند که کاربران را فریب میدهد تا تبلیغات تماشا کنند، با اشتراکهای ممتاز موافقت کنند، یا کیف پول درونبرنامهای خود را پر کنند و هرگز به آنها اجازه دریافت پاداشهای مجازی را ندهند.
این برنامهها از رابط کاربری مشابهی استفاده میکنند و عموماً کاربران مالزی، ویتنام، اندونزی، فیلیپین، اوگاندا و مکزیک را هدف قرار میدهند در حالی که بیشتر آنها بین سالهای 2021 تا 2022 در Google Play آپلود شدهاند. گوگل به BleepingComputer گفت: «ما ادعاهای امنیتی و حریم خصوصی علیه برنامهها را جدی میگیریم و اگر اپلیکیشنی سیاستهای ما را نقض کرده باشد، اقدام مناسب را انجام خواهیم داد». اما از آنجا که تا به حال هزاران کاربر این اپها را دانلود کردهاند، پاک کردن دستی آنها از روی دستگاه لازم است.
منبع:
https://www.bleepingcomputer.com/news/security/new-android-malware-Uses-ocr-to-steal-credentials-fr…
- 36