今天小編分享的互聯網經驗:新的安卓惡意軟體利用OCR從影像竊取憑據,歡迎閱讀。
近日谷歌應用程式商店 Google Play 上驚現兩個新的安卓惡意軟體家族:"CherryBlos" 和 "FakeTrade",它們旨在竊取加密貨币憑據和資金,或者從事詐騙活動。
趨勢科技公司發現了這些新的惡意軟體種類,它發現兩者使用相同的網絡基礎設施和證書,這表明它們是由同一夥威脅分子創建的。
惡意應用程式使用各種分發渠道來傳播,包括社交媒體、網絡釣魚網站以及安卓官方應用程式商店 Google Play 上的欺詐性購物應用程式。
CherryBlos 惡意軟體
CherryBlos 惡意軟體于 2023 年 4 月首次被發現肆意分發,以 APK(安卓軟體包)檔案的形式在 Telegram、Twitter 和 YouTube 上推廣,偽裝成了人工智能工具或加密貨币挖礦軟體。
圖 1. 推廣 CherryBlos 投放應用程式的 YouTube 視頻(圖片來源:趨勢科技)
惡意 APK 的名稱為 GPTalk、Happy Miner、Robot999 和 SynthNet,分别從擁有匹配網域名的以下網站下載:
• chatgptc [ . ] io
• Happyminer [ . ] com
• robot999 [ . ] net
• synthne [ . ] ai
一個惡意的 Synthnet 應用程式也被上傳到了 Google Play 商店,在被舉報并被删除之前,它已被下載了大約 1000 次。
CherryBlos 是一個加密貨币竊取器,濫用 Accessibility(輔助功能)服務權限從 C2 伺服器獲取兩個配置檔案,自動批準額外的權限,并防止用戶殺死被植入木馬的應用程式。
CherryBlos 使用一系列策略來竊取加密貨币憑據和資產,主要策略是加載虛假的用戶界面,模仿官方應用程式來釣魚獲取憑據。
然而可以啟用一項比較值得關注的功能,該功能使用 OCR(光學字元識别)從存儲在設備上的影像和照片中提取文本。
圖 2. 對影像執行 OCR 的惡意軟體代碼(圖片來源:趨勢科技)
比如說,在創建新的加密貨币錢包時,用戶會獲得一個由 12 個或更多單詞組成的恢復短語 / 密碼,可用于恢復計算機上的錢包。
在顯示這些單詞後,系統提示用戶記下這些單詞,并将其存儲在妥善的地方,因為任何擁有這些短語的人都可以使用它将你的加密貨币錢包添加到設備中,并訪問其中的資金。
雖然不建議用拍照把恢復短語拍下來,但人們還是會這麼做,把照片保存在電腦和移動設備上。
然而,如果這項惡意軟體功能被啟用,它可能會對影像進行 OCR 處理,以提取恢復短語,從而允許不法分子竊取錢包。
然後,收集到的數據定期發送回威脅分子控制的伺服器,如下所示。
圖 3. CherryBlos 将受害者的助記詞發送到 C2(圖片來源:趨勢科技)
該惡意軟體還充當了币安應用程式的剪貼板劫持器,通過自動将加密貨币收件人的地址換成攻擊者控制的地址,而原始地址對這個用戶來說似乎沒有什麼變化。
這種行為讓威脅分子得以将匯給用戶的付款轉到他們自己的錢包,實際上竊取了轉移的資金。
FakeTrade 活動
趨勢科技的分析師發現了這與 Google Play 上的一起活動有關聯;在這起活動中,31 個詐騙應用程式統稱為 "FakeTrade",它們使用與 CherryBlos 應用程式相同的 C2 網絡基礎設施和證書。
這些應用程式使用購物主題或賺錢誘餌以誘騙用戶觀看廣告、同意付費訂閱,或者充值應用程式内錢包,并且不允許他們兌現虛拟獎勵。
這些應用程式使用一種類似的界面,主要針對馬來西亞、越南、印度尼西亞、菲律賓、烏幹達和墨西哥的用戶,其中大多數應用程式是在 2021 年至 2022 年期間上傳到 Google Play 的。
圖 4. 其中一個 FakeTrade 應用程式被下載了 10000 次(圖片來源:趨勢科技)
谷歌告訴外媒,這個被舉報的惡意軟體已經從 Google Play 中删除。
谷歌表示:" 我們認真對待針對應用程式投訴的安全和隐私問題,如果我們發現某個應用程式違反了我們的政策,就會采取适當的行動。"
然而,由于成千上萬的用戶已經下載了這些應用程式,因此可能需要在受感染的設備上進行手動清理。
在不斷發展變化的網絡威脅環境中,惡意軟體編寫者不斷尋找新的方法來引誘受害者,并竊取敏感數據,這不足為奇。
去年谷歌開始采取措施,通過完全阻止側加載的應用程式使用輔助功能,阻止惡意安卓應用程式濫用輔助功能 API 從被感染設備上秘密收集信息。
但是竊取器和剪貼器只是眾多惡意軟體中的一種(還有間諜軟體和跟蹤軟體等),它們被用來跟蹤目标,并收集感興趣的信息,對個人隐私和安全構成了嚴重威脅。
本周發布的一項新研究發現,至少從 2016 年開始,一款名為 SpyHide 的監控應用程式就在悄悄收集全球近 6 萬台安卓設備的私人電話數據。
一位名為 maia arson crimew 的安全研究人員說:" 一些用戶(惡意軟體運營商)将多個設備連接到其賬戶上,有些人擁有多達 30 個設備,他們在多年的時間裡一直在監視其生活中的每個人。"
因此,用戶在下載來歷不明的應用程式時要保持警惕,核實開發者的信息,并仔細審查應用程式評論,以降低潛在風險。
事實上,沒有什麼可以阻止威脅分子在 Play Store 上創建虛假的開發者賬戶來分發惡意軟體,這已引起了谷歌的注意。
本月早些時候,這家搜索巨頭宣布,它将要求所有以組織的身份新注冊的開發者賬戶在提交應用程式之前提供鄧白氏公司(Dun & Bradstreet)分配的有效 D-U-N-S 号碼,以确立用戶信任。這個變化将于 2023 年 8 月 31 日起生效。
