I en nylig opdagelse af sikkerhedsforskere hos Trend Micro er en ny race af Android-malware kommet frem i lyset, med en avanceret teknik kendt som optisk tegngenkendelse (OCR) til at stjæle brugeroplysninger, der vises på deres enhedsskærme.

Denne ondsindede software kaldet "CherryBlos" er blevet opdaget i fire Android-applikationer, der distribueres gennem ikke-Google Play-kanaler, især på platforme, der fremmer tvivlsomme "tjen hurtige penge" tilbud.

En af ​​disse apps formåede faktisk at eksistere på Google Play i næsten en måned, inden den blev opdaget. Desuden blev lignende mistænkelige apps fra de samme udviklere fundet på Google Play, selvom de også var blottet for den ondsindede kode.

Gerningsmændene til disse apps brugte komplicerede taktikker for at skjule deres uhyggelige hensigter. De brugte en betalt version af Jiagubao, en kommerciel software, til at kryptere deres kode og kodestrenge, hvilket gjorde dem immune over for konventionel analyse. Derudover indeholdt disse apps mekanismer til at sikre deres fortsatte drift på inficerede enheder.

CherryBlos tilsyneladende ude efter din kryptovaluta

Navnlig når brugere fik adgang til legitime apps som krypto apps, så som Binance og andre krypto-tjenester, ville CherryBlos overlejre falske vinduer, der ligner de autentiske grænseflader. Under tilbagetrækningsprocesser ville malware i det skjulte erstatte modtagerens wallet adresse med en, der kontrolleres af angriberen.

Et karakteristisk og særligt spændende aspekt ved CherryBlos er dets evne til at fange mnemoniske adgangssætninger, som bruges til kontoadgang. Når de legitime apps præsenterer disse adgangssætninger på enhedens skærm, tager malwaren et skærmbillede og bruger efterfølgende OCR til at konvertere billedet til læsbar tekst, hvilket letter uautoriseret adgang til kontoen.

CherryBlos går også efter bank info

Denne Android-malware skiller sig ud på grund af dens sjældenhed og muligvis nyhed i brugen af ​​OCR, en metode, der ikke almindeligvis observeres inden for malware. Navnlig omgår denne tilgang de typiske sikkerhedsforanstaltninger, der er vedtaget af bank- og finansrelaterede apps, såsom forebyggelse af skærmbilleder under følsomme operationer. CherryBlos omgår tilsyneladende disse begrænsninger ved at udnytte tilgængelighedstilladelser, ofte beregnet til brugere med synshandicap eller handicap.

Overraskende nok gav søgninger efter tidligere tilfælde af OCR-brugende malware ingen væsentlige resultater, hvilket indikerer nyheden ved denne tilgang. Trend Micro-repræsentanter afholdt sig fra at kommentere på, om der findes andre eksempler. Som forskerne forklarede, "Som de fleste moderne banktrojanske heste kræver CherryBlos tilgængelighedstilladelser for at fungere. Når brugeren åbner appen, vil den vise et popup-dialogvindue, der beder brugerne om at aktivere tilgængelighedstilladelser. En officiel hjemmeside vil også blive vist via WebView til undgå mistanke fra offeret."

Når først disse tilladelser er givet, går den ondsindede app ud over blot at fange følsomme skærmoplysninger; den udfører også en række ondsindede handlinger. Disse omfatter taktikker til at undgå registrering, såsom automatisk tildeling af anmodede tilladelser ved at simulere klik på "tillad"-knappen i systemdialoger, samt hurtigt at returnere brugere til startskærmen, når de får adgang til appindstillinger - en sandsynlig modforanstaltning mod afinstallation eller afslutning.

Desuden udnytter malwaren adgangstilladelser til at overvåge lanceringen af ​​legitime wallet apps. Når det opdages, implementerer CherryBlos foruddefinerede falske aktiviteter, der har til formål at tvinge ofre til at indtaste deres legitimationsoplysninger.

31 andre apps på Google Play delte karakteristika

Forskerne faldt også over adskillige yderligere apps, de fleste hostet på Google Play, der deler det samme digitale certifikat eller angriberinfrastruktur som de fire CherryBlos-apps. Selvom disse 31 apps ikke inkluderede CherryBlos nyttelasten, rejste forskerne bekymring på grund af deres unormale adfærd. De delte uhyggelige ligheder, og adskilte sig kun med hensyn til brugergrænsefladesprog, da de stammede fra en fælles app-skabelon. Derudover var beskrivelserne af disse apps på Google Play identiske.

Denne forskning er endnu et bevis på den vedvarende trussel, som ondsindede apps udgør. Selvom der ikke eksisterer nogen idiotsikker løsning til at afværge sådanne trusler, kan det forbedre beskyttelsen væsentligt ved at vedtage nogle få forsigtige fremgangsmåder:

- Undlad at downloade apps fra uofficielle kilder eller sideloading, medmindre du besidder den nødvendige ekspertise og tillid til kilden.

- Prioriter gennemgang af app-anmeldelser før installation, især dem, der påpeger potentiel ondskab.

- Gennemgå apptilladelser grundigt, med særligt fokus på dem, der søger tilgængelighedsadgang.

Forskernes rapport understreger det sofistikerede hos angriberne bag disse kampagner, idet de anvender teknikker som softwarepakning, sløring og udnyttelsen af ​​Androids tilgængelighedstjeneste for at undgå opdagelse. Disse kampagner er rettet mod et globalt publikum og udgør fortsat væsentlige risici for brugerne, hvilket fremgår af tilstedeværelsen af ​​ondsindede apps på Google Play.