П’ятниця, 22 Листопада

Експерти в галузі інформаційної безпеки з Trend Micro виявили рідкісне шкідливе програмне забезпечення для Android. Називається воно Cherry Bloss. Зловмисники використовують його для крадіжки облікових даних користувачів.

Вірус вбудований в десятки програм, які поширюються в основному через сайти, що рекламують шахрайські схеми. Деякі з них були і в Google Play, але без вмісту трояна.

Ці програми старанно приховують свою шкідливу функціональність і використовують платну версію Jiagubao для шифрування свого коду. Крім того, у них вбудовані інструменти, що гарантують безперервну активність на заражених телефонах.

Працює CherryBlos так: коли користувач відкриває офіційні програми криптовалютних служб, вірус запускає фальшиві оповіщення, які імітую справжні вікна на екрані смартфона, а під час виведення коштів змінює адресу гаманця, обрану жертвою, на адресу, яку контролює зловмисник.

Найбільш цікавим аспектом фахівці називають рідкісну, якщо не нову функцію, що дозволяє вірусу перехоплювати фрази-паролі, які використовуються для отримання доступу до облікового запису. Коли офіційна програма відображає його на телефоні, шкідлива програма спочатку робить знімок екрана, а потім використовує оптичне розпізнавання символів (OCR) для переведення зображення в текстовий формат, який можна використовувати для злому.

У більшості фінансових програм використовується інструмент, який запобігає створенню знімка екрана під час транзакцій або інших конфіденційних операцій. Але CherryBlos, здається, обходить і ці блоки. Зважаючи на все, він якимось чином отримує дозвіл доступу, який використовується для людей з порушеннями зору або іншими обмеженнями.

У Google Play фахівці виявили чотири основні та десятки додаткових додатків. Жодне з них не містило шкідливого навантаження, проте їх вже прибрали з маркетплейсу. Вірус, ймовірно, знаходиться лише в їх веб-версії. Весь список можна переглянути тут (відкривається в новій вкладці).

Exit mobile version