Зустрічайте революційну шкідливу програму, яка краде ваші ідентифікатори зображень на Android!

Нещодавно в Google Play було виявлено два нових сімейства зловмисного програмного забезпечення Android. Ці програми під назвою «CherryBlos» і «FakeTrade» спрямовані на крадіжку облікових даних і коштів у криптовалюті, а також на шахрайство. Ці висновки були зроблені Trend Micro, яка помітила, що обидва сімейства зловмисного програмного забезпечення використовували однакову мережеву інфраструктуру та сертифікати, що свідчить про те, що вони були створені одними і тими самими загрозами.

Шкідливі програми поширюються через різні канали, включаючи соціальні мережі, фішингові сайти та покупки в програмі в Google Play, офіційному магазині програм Android.

Шкідлива програма CherryBlos

Шкідлива версія програми Synthnet також була завантажена в Google Play, де її завантажували близько тисячі разів, перш ніж повідомити про неї та видалити.

CherryBlos — це зловмисне програмне забезпечення, яке викрадає облікові дані та активи криптовалюти за допомогою різних тактик. Він зловживає дозволами Accessibility Service, щоб отримати два файли конфігурації з сервера C2, автоматично схвалити додаткові дозволи та запобігти видаленню користувача троянської програми. Крім того, CherryBlos використовує оманливі інтерфейси користувача, які імітують офіційні програми для викрадення облікових даних. Цікавою особливістю цього зловмисного програмного забезпечення є його здатність виконувати оптичне розпізнавання символів (OCR) на зображеннях, що зберігаються на пристрої, що дозволяє йому викрадати фрази відновлення з гаманців криптовалюти.

CherryBlos також діє як викрадач буфера обміну для програми Binance. Він автоматично змінює адресу криптотокена на той, який контролює зловмисник, при цьому вихідна адреса залишається незмінною для користувача. Це дозволяє зловмисникам перенаправляти платежі на власні гаманці, тим самим викрадаючи переказані кошти.

Кампанія FakeTrade

Аналітики Trend Micro також виявили кампанію під назвою «FakeTrade» у Google Play. Ця кампанія включає 31 шахрайську програму, яка використовує ту саму мережеву інфраструктуру та сертифікати C2, що й програми CherryBlos.

Ці додатки використовують теми для покупок або фінансові спокуси, щоб оманою спонукати користувачів переглядати рекламу, приймати преміум-підписки або наповнювати свої гаманці в програмі. Однак вони ніколи не дозволяють користувачам знімати віртуальні винагороди. Ці програми в основному націлені на користувачів із Малайзії, В’єтнаму, Індонезії, Філіппін, Уганди та Мексики.

Google швидко відреагував, видаливши шкідливі програми з Google Play. Однак, оскільки багато користувачів уже завантажили їх, на заражених пристроях може знадобитися ручне очищення.

Важливо залишатися пильним, завантажуючи програми з Google Play і перевіряти їх походження та відгуки користувачів перед їх встановленням. Крім того, не рекомендується фотографувати фрази відновлення гаманця криптовалюти, оскільки зловмисне програмне забезпечення, таке як CherryBlos, може розпізнати ці зображення та викрасти відповідні кошти.

Безпека користувачів є пріоритетом для Google, яка вживає заходів для захисту користувачів від зловмисного програмного забезпечення в Google Play. Однак користувачам важливо бути в курсі та вживати заходів для захисту своїх пристроїв і особистої інформації.

Джерело нашої інформації