Novo Malware Android CherryBlos Utilizando OCR para Roubar Dados Sensíveis
31 de Julho de 2023

Uma nova cepa de malware Android chamada CherryBlos foi observada utilizando técnicas de reconhecimento óptico de caracteres (OCR) para reunir dados sensíveis armazenados em imagens.

De acordo com a Trend Micro, o CherryBlos é distribuído por meio de postagens falsas em plataformas de mídia social e vem com capacidades para roubar credenciais relacionadas a carteiras de criptomoedas e atuar como um clipper para substituir endereços de carteira quando uma string que corresponda a um formato predefinido é copiada para a área de transferência.

Uma vez instalados, os aplicativos buscam as permissões dos usuários para conceder-lhe permissões de acessibilidade, o que permite que ele conceda a si mesmo permissões adicionais conforme necessário.

Como medida de evasão de defesa, os usuários que tentam matar ou desinstalar o aplicativo entrando no aplicativo Configurações são redirecionados de volta para a tela inicial.

Além de exibir falsos overlays sobre aplicativos de carteira de criptomoedas legítimos para roubar credenciais e fazer transferências fraudulentas de fundos para um endereço controlado pelo invasor, o CherryBlos utiliza o OCR para reconhecer possíveis frases mnemônicas de imagens e fotos armazenadas no dispositivo, cujos resultados são periodicamente carregados para um servidor remoto.

O sucesso da campanha depende da possibilidade de os usuários tendem a tirar screenshots das frases de recuperação da carteira em seus dispositivos.

A Trend Micro disse que também encontrou um aplicativo desenvolvido pelos atores de ameaças CherryBlos na Google Play Store, mas sem o malware embutido nele.

O aplicativo, chamado Synthnet, desde então foi removido pela Google.

Os atores de ameaças também parecem compartilhar sobreposições com outro conjunto de atividades envolvendo 31 aplicativos de ganho de dinheiro falsos, chamados FakeTrade, hospedados na loja de aplicativos oficial com base no uso de infraestrutura de rede compartilhada e certificados de aplicativos.

A maioria dos aplicativos foi carregada na Play Store em 2021 e foi encontrada visando usuários de Android na Malásia, Vietnã, Indonésia, Filipinas, Uganda e México.

"Esses aplicativos afirmam ser plataformas de comércio eletrônico que prometem aumentar a renda dos usuários por meio de referências e recargas", disse a Trend Micro.

"No entanto, os usuários não conseguirão retirar seus fundos quando tentarem fazer isso."

A divulgação vem depois que a McAfee detalhou uma campanha de phishing por SMS contra usuários japoneses do Android que se disfarça como uma empresa de infraestrutura de energia e água para infectar os dispositivos com um malware chamado SpyNote.

A campanha ocorreu no início de junho de 2023.

"Depois de lançar o malware, o aplicativo abre uma tela de configurações falsas e solicita que o usuário ative o recurso de acessibilidade", disse o pesquisador da McAfee, Yukihiro Okutomi, na semana passada.

"Ao permitir o serviço de acessibilidade, o malware desativa a otimização da bateria para que ele possa funcionar em segundo plano e concede automaticamente permissão de instalação de fonte desconhecida para instalar outro malware sem o conhecimento do usuário."

Não é surpresa que os autores de malware busquem constantemente novas abordagens para atrair vítimas e roubar dados sensíveis na paisagem de ameaças cibernéticas em constante evolução.

O Google, no ano passado, começou a tomar medidas para conter o abuso de APIs de acessibilidade por aplicativos Android desonestos para reunir informações covertamente de dispositivos comprometidos, bloqueando aplicativos sideloaded de usar recursos de acessibilidade de uma vez.

No entanto, stealers e clippers representam apenas um dos muitos tipos de malware - como spyware e stalkerware - que são usados para rastrear alvos e reunir informações de interesse, representando ameaças graves à privacidade pessoal e a segurança.

Uma nova pesquisa publicada esta semana descobriu que um aplicativo de vigilância chamado SpyHide está coletando furtivamente dados de telefone privados de quase 60.000 dispositivos Android ao redor do mundo desde pelo menos 2016.

"Alguns dos usuários (operadores) têm vários dispositivos conectados à sua conta, com alguns tendo até 30 dispositivos que eles têm observado ao longo de vários anos, espionando todos em suas vidas", disse uma pesquisadoar de segurança, que atende pelo nome de maia arson crimew.

É, portanto, crucial que os usuários permaneçam vigilantes ao baixar aplicativos de fontes não verificadas, verificar informações do desenvolvedor e analisar críticas de aplicativos para mitigar potenciais riscos.

O fato de não haver nada impedindo os atores de ameaças de criarem contas de desenvolvedor falsas na Play Store para distribuir malware não passou despercebido pelo Google.

No início deste mês, o gigante da busca anunciou que exigirá que todas as novas contas de desenvolvedor que se registrarem como uma organização forneçam um número D-U-N-S válido atribuído pela Dun & Bradstreet antes de enviar aplicativos, em um esforço para construir a confiança do usuário.

A mudança entra em vigor em 31 de agosto de 2023.

Publicidade

Aprenda hacking e pentest na prática com esse curso gratuito

Passe por todas as principais fases de um pentest, utilizando cenários, domínios e técnicas reais utilizados no dia a dia de um hacker ético. Conte ainda com certificado e suporte, tudo 100% gratuito. Saiba mais...