En ny Android-malware-stamme kaldet CherryBlos er blevet observeret ved hjælp af optiske tegngenkendelsesteknikker (OCR) til at indsamle følsomme data, der er gemt i billeder.
CherryBlos, pr. Trend Micro, distribueres via falske indlæg på sociale medieplatforme og leveres med muligheder for at stjæle cryptovaluta tegnebogs-relaterede legitimationsoplysninger og fungere som en klipper til at erstatte tegnebogadresser, når et offer kopierer en streng, der matcher et foruddefineret format, kopieres til udklipsholderen.
Når de er installeret, søger apps brugernes tilladelser til at give det tilgængelighedstilladelser, hvilket gør det muligt automatisk at give sig selv yderligere tilladelser efter behov. Som en forsvarsunddragelsesforanstaltning omdirigeres brugere, der forsøger at dræbe eller afinstallere appen ved at gå ind i appen Indstillinger, tilbage til startskærmen.
Udover at vise falske overlays oven på legitime krypto-tegnebog-apps til at stjæle legitimationsoplysninger og foretage falske pengeoverførsler til en angriberkontrolleret adresse, bruger CherryBlos OCR til at genkende potentielle mnemoniske sætninger fra billeder og fotos, der er gemt på enheden, hvis resultater periodisk uploades til en fjernserver.
Kampagnens succes banker på muligheden for, at brugerne har tendens til at tage skærmbilleder af tegnebogens gendannelsessætninger på deres enheder.
Trend Micro sagde, at det også fandt en app udviklet af CherryBlos-trusselsaktørerne i Google Play Butik, men uden malware indlejret i den. Appen, der hedder Synthnet, er siden blevet taget ned af Google.
Trusselsaktørerne ser også ud til at dele overlapninger med et andet aktivitetssæt, der involverer 31 fiduspengetjenende apps, kaldet FakeTrade, hostet på den officielle app-markedsplads baseret på brugen af delt netværksinfrastruktur og appcertifikater.
De fleste af apps blev uploadet til Play Butik i 2021 og har vist sig at målrette mod Android-brugere i Malaysia, Vietnam, Indonesien, Filippinerne, Uganda og Mexico.
“Disse apps hævder at være e-handelsplatforme, der lover øget indkomst for brugerne via henvisninger og top-ups,” sagde Trend Micro. “Brugere vil dog ikke være i stand til at hæve deres midler, når de forsøger at gøre det.”
Afsløringen kommer som McAfee detaljeret en SMS phishing-kampagne mod japanske Android-brugere, der maskerer sig som et kraft- og vandinfrastrukturselskab for at inficere enhederne med malware kaldet SpyNote. Kampagnen fandt sted i begyndelsen af juni 2023.
“Efter lanceringen af malware, appen åbner en falsk indstillingsskærm og beder brugeren om at aktivere tilgængelighedsfunktionen,”McAfee-forsker Yukihiro Okutomi sagde i sidste uge.
“Ved at tillade tilgængelighedstjenesten deaktiverer malware batterioptimering, så den kan køre i baggrunden og automatisk giver ukendt kildeinstallationstilladelse til at installere en anden malware uden brugerens viden.”
Det er ingen overraskelse, at malwareforfattere konstant søger nye tilgange til at lokke ofre og stjæle følsomme data i det stadigt udviklende cybertrussellandskab.
Google begyndte sidste år at tage skridt til at bremse misbrug af tilgængeligheds-API’er af useriøse Android-apps for skjult at indsamle oplysninger fra kompromitterede enheder ved at blokere sideindlæste apps fra at bruge tilgængelighedsfunktioner helt.
Men stjælere og klippere repræsenterer blot en af de mange former for malware – såsom spyware og stalkerware – der bruges til at spore mål og indsamle oplysninger af interesse, hvilket udgør alvorlige trusler mod privatlivets fred og sikkerhed.
Ny forskning, der blev offentliggjort i denne uge, viste, at en overvågningsapp kaldet SpyHide snigende indsamler private telefondata fra næsten 60.000 Android-enheder rundt om i verden siden mindst 2016.
“Nogle af brugerne (operatørerne) har flere enheder forbundet til deres konto, hvor nogle har så meget som 30 enheder, de har set i løbet af flere år og spioneret på alle i deres liv,” sagde en sikkerhedsforsker, der går under navnet Maia Brandstiftelse Crimew.
Det er derfor afgørende for brugerne at være opmærksomme, når de downloader apps fra ubekræftede kilder, verificere udvikleroplysninger og undersøge appanmeldelser for at afbøde potentielle risici.
Det faktum, at der ikke er noget, der forhindrer trusselsaktører i at oprette falske udviklerkonti i Play Butik for at distribuere malware, er ikke gået ubemærket hen af Google.
Tidligere på måneden meddelte søgegiganten, at den vil kræve, at alle nye udviklerkonti, der registrerer sig som en organisation, skal angive et gyldigt D-U-N-S-nummer tildelt af Dun &; Bradstreet, før de indsender apps i et forsøg på at opbygge brugertillid.
Ændringen træder i kraft den 31. august 2023 og herefter er det kun registrerede virksomheder, der kan indsende APPS. Men det er nemt at stifte et offshore selskab anonymt, men det udelukker i hvertfald nogle.
Kilde: Hackernews, Michael Rasmussen, ICARE
Fotokredit: Google