Malware, který výzkumníci z bezpečnostní firmy Trend Micro nazvali CherryBlos, se vyskytoval v nejméně čtyřech aplikacích pro Android dostupných mimo Google Play, konkrétně na stránkách propagujících podvodné investice. Jedna z těchto aplikací sice byla téměř měsíc dostupná i v obchodě Google Play, ale tato verze škodlivý CherryBlos neobsahovala. Výzkumníci objevili na Google Play také podezřelé aplikace vytvořené stejnými vývojáři, které však rovněž malware neobsahovaly.
Pokročilé techniky
Aplikace si daly záležet na tom, aby skryly svou škodlivou funkci. Jejich tvůrci použily placenou verzi komerčního softwaru známého jako Jiagubao k zašifrování kódu a řetězců, aby zabránily odhalení analýzou, která může nebezpečnou funkčnost odhalit.
Obsahovaly také techniky, které zajišťovaly, že aplikace zůstane stále aktivní na telefonech, které ji mělu nainstalovanou. Když uživatelé otevřeli legitimní aplikace pro Binance a další kryptoměnové služby, malware CherryBlos je překryl okny, která napodobovala okna legitimních aplikací. Během výběrů pak CherryBlos nahradil adresu peněženky, kterou oběť zvolila pro příjem prostředků, adresou ovládanou útočníkem.
Nejzajímavějším aspektem malwaru je jeho vzácná, ne-li novátorská funkce, která mu umožňuje zachytit mnemotechnické přístupové fráze používané k získání přístupu k účtu. Když legitimní aplikace zobrazují na obrazovkách telefonů přístupové fráze, malware nejprve pořídí snímek obrazovky a poté pomocí OCR převede obrázek do textového formátu, který lze použít k napadení účtu.
Většina aplikací souvisejících s bankovnictvím a financemi se chová tak, že zabraňují pořizování snímků obrazovky během citlivých operací. Zdá se, že CherryBlos tato omezení obchází tím, že získává oprávnění pro pořízení kopie displeje, která používají lidé se zrakovým postižením nebo jiným typem postižení.
Malware CherryBlos byl vložen do následujících aplikací dostupných na uvedených webových stránkách: GPTalk (chatgptc[.]io), Happy Miner (happyminer[.]com), Robot 999 (robot999[.]net), SynthNet (synthnet[.]ai).
Příklad aplikace, která obsahovala malware. | Zdroj: Trend Micro
Univerzální obrana proti takovýmto typům malwaru v podstatě neexistuje, ale doporučují se následující opatření, která napomohou k tomu, abyste se těmto hrozbám vyhnuli:
- Pokud nevíte přesně, co děláte, a zcela nedůvěřujete straně, která má na starosti web, nestahujte z něj aplikace a a neinstalujte si je do telefonu.
- Před instalací aplikací si přečtěte jejich recenze. Obzvláště pečlivě se zaměřte na recenze, které tvrdí, že aplikace jsou škodlivé.
- Pečlivě si prohlédněte oprávnění, která aplikace vyžaduje, přičemž zvláštní pozornost věnujte aplikacím, které požadují příliš mnoho oprávnění, především oprávnění týkající se usnadnění práce s telefonem.
Zdroj : Trend Micro, Arc Technica
video
