Експерти в галузі інформаційної безпеки з Trend Micro виявили рідкісне шкідливе програмне забезпечення для Android. Називається воно Cherry Bloss. Зловмисники використовують його для крадіжки облікових даних користувачів.
Вірус вбудований в десятки програм, які поширюються в основному через сайти, що рекламують шахрайські схеми. Деякі з них були і в Google Play, але без вмісту трояна.
Ці програми старанно приховують свою шкідливу функціональність і використовують платну версію Jiagubao для шифрування свого коду. Крім того, у них вбудовані інструменти, що гарантують безперервну активність на заражених телефонах.
Працює CherryBlos так: коли користувач відкриває офіційні програми криптовалютних служб, вірус запускає фальшиві оповіщення, які імітую справжні вікна на екрані смартфона, а під час виведення коштів змінює адресу гаманця, обрану жертвою, на адресу, яку контролює зловмисник.
Найбільш цікавим аспектом фахівці називають рідкісну, якщо не нову функцію, що дозволяє вірусу перехоплювати фрази-паролі, які використовуються для отримання доступу до облікового запису. Коли офіційна програма відображає його на телефоні, шкідлива програма спочатку робить знімок екрана, а потім використовує оптичне розпізнавання символів (OCR) для переведення зображення в текстовий формат, який можна використовувати для злому.
У більшості фінансових програм використовується інструмент, який запобігає створенню знімка екрана під час транзакцій або інших конфіденційних операцій. Але CherryBlos, здається, обходить і ці блоки. Зважаючи на все, він якимось чином отримує дозвіл доступу, який використовується для людей з порушеннями зору або іншими обмеженнями.
У Google Play фахівці виявили чотири основні та десятки додаткових додатків. Жодне з них не містило шкідливого навантаження, проте їх вже прибрали з маркетплейсу. Вірус, ймовірно, знаходиться лише в їх веб-версії. Весь список можна переглянути тут (відкривається в новій вкладці).
Підписуйся на наш Telegram-канал