بدافزار جدید اندروید از OCR برای سرقت اطلاعات کاربری از تصاویر استفاده می‌کند

دو خانواده بدافزار جدید اندرویدی به نام‌های CherryBlos و FakeTrade در Google Play کشف شدند که هدفشان سرقت اعتبارنامه ارزهای دیجیتال و سرقت وجوه یا کلاهبرداری بود. گونه‌های بدافزار جدید توسط Trend Micro کشف شدند که هر دو را با استفاده از زیرساخت‌های شبکه و گواهی‌های مشابه مشاهده کردند که نشان می‌دهد عوامل تهدید یکسانی آنها را ایجاد کرده‌اند. برنامه‌های مخرب از کانال‌های توزیع مختلف، از جمله رسانه‌های اجتماعی، سایت‌های فیشینگ و برنامه‌های خرید فریبنده در Google Play، فروشگاه برنامه رسمی اندروید استفاده می‌کنند.
بدافزار CherryBlos برای اولین بار در آوریل 2023، در قالب یک فایل APK (بسته اندرویدی) که در تلگرام، توییتر و یوتیوب تبلیغ شده بود، تحت پوشش ابزارهای هوش مصنوعی یا استخراج‌کننده سکه توزیع شد.
ویدیوی YouTube در حال تبلیغ یک برنامه حامل CherryBlos (Trend Micro)

نام‌های مورد استفاده برای APKهای مخرب GPTalk، Happy Miner، Robot999، و SynthNet هستند که از وب‌سایت‌های زیر با نام‌های دامنه منطبق دانلود شده‌اند:

یک برنامه مخرب Synthnet نیز در فروشگاه Google Play آپلود شد، و قبل از آنکه گزارش و حذف شود، تقریباً هزار بار دانلود شد. CherryBlos یک دزد ارز دیجیتال است که از مجوزهای سرویس Accessibility برای دریافت دو فایل پیکربندی از سرور C2، تأیید خودکار مجوزهای اضافی و جلوگیری از کشتن برنامه تروجان شده توسط کاربر سوء استفاده می‌کند.
CherryBlos از طیف وسیعی از تاکتیک‌ها برای سرقت اعتبار و دارایی‌های ارزهای دیجیتال استفاده می‌کند که تاکتیک اصلی آن بارگذاری رابط‌های کاربری جعلی است که از برنامه‌های رسمی تقلید می‌کنند تا با استفاده از فیشینگ، اعتبارنامه دریافت کنند. 
اما یک ویژگی جالب‌تر، استفاده از OCR است. به عنوان مثال، هنگام راه‌اندازی کیف پول‌های ارز دیجیتال جدید به کاربران عبارت/رمز عبور بازیابی شامل ۱۲ کلمه یا بیشتر داده می‌شود که می‌تواند برای بازیابی کیف پول در رایانه استفاده شود. برخی کاربران از این رمز، عکس می‌گیرند، هر چند این کار توصیه نمی‌شود. این بدافزار می‌تواند با استفاده از OCR، رمز را از این عکس‌ها استخراج کند.
تحلیلگران Trend Micro اتصالاتی به یک کمپین در Google Play پیدا کردند که در آن 31 برنامه کلاهبرداری که مجموعاً "FakeTrade" نامیده می‌شود از زیرساخت‌ها و گواهی‌های شبکه C2 یکسان با برنامه‌های CherryBlos استفاده می‌کردند. این برنامه‌ها از تم‌های خرید یا فریب‌های پول‌سازی استفاده می‌کنند که کاربران را فریب می‌دهد تا تبلیغات تماشا کنند، با اشتراک‌های ممتاز موافقت کنند، یا کیف پول درون‌برنامه‌ای خود را پر کنند و هرگز به آن‌ها اجازه دریافت پاداش‌های مجازی را ندهند.
این برنامه‌ها از رابط کاربری مشابهی استفاده می‌کنند و عموماً کاربران مالزی، ویتنام، اندونزی، فیلیپین، اوگاندا و مکزیک را هدف قرار می‌دهند در حالی که بیشتر آنها بین سال‌های 2021 تا 2022 در Google Play آپلود شده‌اند. گوگل به BleepingComputer گفت: «ما ادعاهای امنیتی و حریم خصوصی علیه برنامه‌ها را جدی می‌گیریم و اگر اپلیکیشنی سیاست‌های ما را نقض کرده باشد، اقدام مناسب را انجام خواهیم داد». اما از آنجا که تا به حال هزاران کاربر این اپ‌ها را دانلود کرده‌اند، پاک کردن دستی آنها از روی دستگاه لازم است.

منبع:

https://www.bleepingcomputer.com/news/security/new-android-malware-Uses-ocr-to-steal-credentials-fr…