Novi Android malver koristi OCR za krađu akreditiva sa slika

0
99
novi-android-malver-koristi-ocr-za-kradju-akreditiva-sa-slika

Dve nove porodice malvera za Android pod nazivom „CherryBlos“ i „FakeTrade“ otkrivene su na Google Play-u, sa ciljem da ukradu akreditive i sredstva za kriptovalute ili sprovedu prevare.

PCPress.rs Image

Zlonamerne aplikacije koriste društvene mreže, phishing sajtove i lažne aplikacije za kupovinu na Google Play-u

Nove vrste malvera otkrio je Trend Micro, koji je primetio da oba koriste istu mrežnu infrastrukturu i sertifikate, što ukazuje na to da su ih stvorili isti akteri pretnji.

Zlonamerne aplikacije koriste različite kanale distribucije, uključujući društvene mreže, phishing sajtove i lažne aplikacije za kupovinu na Google Play-u, zvaničnoj prodavnici aplikacija za Android.

CherryBlos malver

CherryBlos zlonamerni softver je prvi put viđen u distribuciji u aprilu 2023. godine, u obliku APK (Android paketa) fajla promovisanog na Telegramu, Twitteru i YouTube-u, pod maskom AI alata ili rudara novčića.

Imena koja se koriste za zlonamerne APK-ove su GPTalk, Happy Miner, Robot999 i Synthnet, preuzeti sa sledećih veb lokacija sa odgovarajućim imenima domena:

  • chatgptc[.]io
  • happyminer[.]com
  • robot999[.]net
  • synthnet[.]ai

Zlonamerna Synthnet aplikacija je takođe otpremljena u Google Play prodavnicu, gde je preuzeta otprilike hiljadu puta pre nego što je prijavljena i uklonjena.

CherryBlos je kradljivac kriptovaluta koji zloupotrebljava dozvole usluge pristupačnosti da bi preuzeo dve konfiguracione datoteke sa C2 servera, automatski odobrio dodatne dozvole i sprečio korisnika da ubije trojanizovanu aplikaciju.

CherryBlos koristi niz taktika za krađu akreditiva i sredstava za kriptovalute, pri čemu je glavna taktika učitavanje lažnih korisničkih interfejsa koji oponašaju zvanične aplikacije za krađu akreditiva.

Međutim, može se omogućiti zanimljivija funkcija koja koristi OCR (optičko prepoznavanje karaktera) za izdvajanje teksta iz slika i fotografija sačuvanih na uređaju.

Na primer, prilikom podešavanja novih novčanika za kriptovalute, korisnicima se daje fraza/lozinka za oporavak koja se sastoji od 12 ili više reči koje se mogu koristiti za oporavak novčanika na računaru. Nakon prikazivanja ovih reči, od korisnika se traži da ih zapišu i čuvaju na bezbednom mestu, jer svako ko ima ovu frazu može da je koristi da doda vaš kripto novčanik na uređaj i pristupi sredstvima u njemu. Iako se ne preporučuje fotografisanje vaše fraze za oporavak, ljudi to i dalje rade, čuvajući fotografije na računarima i svojim mobilnim uređajima. Međutim, ako je ova funkcija malvera omogućena, ona bi potencijalno mogla da OCR sliku i izdvoji frazu za oporavak, omogućavajući im da ukradu novčanik. Prikupljeni podaci se zatim šalju nazad na servere aktera pretnji u redovnim intervalima.

Zlonamerni softver takođe deluje kao otmičar klipborda za aplikaciju Binance tako što automatski menja adresu kripto primaoca sa onom pod kontrolom napadača, dok se originalna adresa korisniku čini nepromenjenom.

Ovakvo ponašanje omogućava akterima pretnji da preusmere uplate poslate korisnicima na njihove sopstvene novčanike, efektivno kradući preneta sredstva.

FakeTrade kampanja

Analitičari Trend Micro-a su otkrili veze sa kampanjom na Google Play-u, gde je 31 aplikacija za prevaru pod zajedničkim nazivom „FakeTrade“ koristila istu C2 mrežnu infrastrukturu i sertifikate kao i CherryBlos aplikacije.

Ove aplikacije koriste teme za kupovinu ili mamce za zaradu koji navode korisnike da gledaju oglase, pristanu na premijum pretplatu ili dopunjavaju svoje novčanike u aplikaciji i nikada im ne dozvoljavaju da isplate virtuelne nagrade. Aplikacije koriste sličan interfejs i uglavnom ciljaju na korisnike u Maleziji, Vijetnamu, Indoneziji, Filipinima, Ugandi i Meksiku, dok je većina njih otpremljena na Google Play između 2021. i 2022. Google je rekao da su prijavljene aplikacije za malver uklonjene sa Google Play-a.

„Ozbiljno shvatamo zahteve za bezbednost i privatnost protiv aplikacija i ako otkrijemo da je aplikacija prekršila naše smernice, preduzimamo odgovarajuće mere“, rekao je Google.

Međutim, pošto ih je hiljade korisnika već preuzelo, možda će biti potrebno ručno čišćenje na zaraženim uređajima.

Izvor: Bleepingcomputer

LEAVE A REPLY

Please enter your comment!
Please enter your name here

Ово веб место користи Акисмет како би смањило непожељне. Сазнајте како се ваши коментари обрађују.