01/08/23
В Google Play обнаружены два новых семейства вредоносных программ для Android «CherryBlos» и «FakeTrade», которые крадут криптовалюту.
Согласно отчёту ИБ-компании Trend Micro, которая обнаружила вредоносные программы, «CherryBlos» и «FakeTrade» распространяются через Google Play и другие каналы с целью кражи учетных данных и криптовалюты, а также обмана пользователей, передает Securitylab. Оба семейства вредоносных программ используют одинаковые сетевую инфраструктуру и сертификаты, что указывает на то, что за ними стоят одни и те же злоумышленники.
Вредоносная программа CherryBlos
Вредоносная программа CherryBlos была впервые замечена в апреле 2023 года в виде APK-файла, который распространялся в Telegram, Twitter* и YouTube под видом ИИ-инструмента или майнера криптовалюты.
CherryBlos злоупотребляет разрешениями службы специальных возможностей (Accessibility service) для получения файлов конфигурации с C2-сервера и дополнительных прав, чтобы предотвратить удаление из системы.
CherryBlos использует поддельные пользовательские интерфейсы, имитирующие официальные приложения криптовалюты, чтобы собрать учетные данные пользователя. Кроме того, вредоносное ПО использует функцию OCR (Optical Character Recognition, оптическое распознавание символов) для извлечения текста из скриншотов и фотографий на устройстве, чтобы извлечь фразы для восстановления кошельков, которые пользователь фотографирует и сохраняет в галерее.
CherryBlos также действует как перехватчик буфера обмена (клиппер) для приложения Binance, автоматически заменяя адрес получателя криптовалюты на адрес злоумышленника, в то время как исходный адрес остается неизменным для пользователя.
Вредоносная программа FakeTrade
Вредоносная программа FakeTrade состоит из 31 мошеннического приложения на тему покупок или схем заработка денег. Приложения заставляют пользователей смотреть рекламу, соглашаться на подписки Premium или совершать покупки внутри приложений, но не позволяют обналичить виртуальные награды.
Приложения в основном нацелены на пользователей из Малайзии, Вьетнама, Индонезии, Филиппин, Уганды и Мексики и были загружены в Google Play между 2021 и 2022 годами. Google удалил вредоносные приложения из Google Play, но тысячи пользователей уже успели их скачать и могут нуждаться в ручной очистке своих устройств.
