CherryBlos je nedávno objevený malwaru, který využívá pokročilé techniky ke krádeži přihlašovacích údajů uživatele.
Tento malware se zaměřuje na uživatele systému Android. Ke krádeži citlivých údajů infikovaných uživatelů používá velmi zvláštní techniku. Výzkumníci, kteří jej objevili, jej nazvali „CherryBlos“ a předpokládá se, že se vývojáři pokusili distribuovat další infikované aplikace prostřednictvím oficiálního obchodu s aplikacemi pro Android.
Výzkumníci společnosti TrendMicro ve své analýze zdůraznili schopnost malwaru využívat techniky optického rozpoznávání znaků (OCR) k získání přihlašovacích údajů uživatele jejich zadáním na obrazovce zařízení.
Malware se postupně šíří mezi aplikace
CherryBlos byl objeven při analýze řady aplikací distribuovaných prostřednictvím kanálů mimo obchod Google Play. Aplikace mohly být stahovány prostřednictvím stránek propagujících podvody na vydělávání peněz.
Zajímavé je, že jedna z infikovaných aplikací byla objevena také v obchodě Google Play, a to od stejného vývojáře jako infikovaná aplikace. Verze pro obchod však neobsahovala škodlivý kód, ačkoli v katalogu obchodu Google Play byly objeveny další podezřelé aplikace.
Pozornost výzkumníků upoutal způsob, jakým malware funguje. Jeho tvůrci použili placenou verzi softwaru, která dokáže kód zašifrovat, aby zabránila analýze odhalit škodlivou funkci.
Přesto bylo zjištěno, že aplikace infikované CherryBlosem používají techniky, jejichž cílem je zajistit, aby aplikace zůstala neustále aktivní.
Když tedy uživatel spustil aplikaci ze služby pro nákup a prodej kryptoměn, jako je například Binance, malware překryl na obrazovce okno simulující legitimní aplikaci. Když však uživatelé prováděli výběry do svých peněženek, CherryBlos nahradil adresu adresou peněženky ovládané útočníkem.
Aby mohl malware fungovat, využíval přístupová oprávnění systému Android, která dávají aplikacím možnost překrývat okna na obrazovce, aniž by si to uživatel uvědomil. Stejně tak byly použity techniky, které bránily uživateli v odinstalování aplikace.
Zpočátku byly objeveny čtyři aplikace s malwarem CherryBlos uvnitř. Jedná se o následující aplikace:
- GPTalk
- Happy Miner
- Robot 999
- SynthNet
Všechny byly objeveny mimo Google Play. V katalogu obchodu s aplikacemi pro Android však byly nalezeny i další podezřelé aplikace, ačkoli Google tvrdí, že je po obdržení tipu od TrendMicro odstranil.
Odborníci stále doporučují vyhnout se při stahování aplikací používání zdrojů mimo Google Play a také se ujistit, že jste si vědomi typu oprávnění udělených jednotlivým aplikacím.