新型 Android 恶意软件 CherryBlos插图

据观察,一种名为CherryBlos的新型 Android 恶意软件利用光学字符识别 (OCR) 技术来收集存储在图片中的敏感数据。

CherryBlos的传播方式

根据趋势科技的说法, CherryBlos通过社交媒体平台上的虚假帖子进行传播,具有窃取加密货币钱包相关凭证的功能,并在受害者将与预定义格式匹配的字符串复制到剪贴板时充当剪切器来替换钱包地址。

Android 恶意软件 CherryBlos

CherryBlos的权限请求

安装后,应用程序会寻求用户的许可来授予其可访问权限,这使其能够根据需要自动授予自己额外的权限。作为一种防御规避措施,尝试通过进入“设置”应用程序来终止或卸载该应用程序的用户将被重定向回主屏幕。

CherryBlos的信息窃取功能

除了在合法的加密钱包应用程序顶部显示虚假覆盖层以窃取凭据并将欺诈性资金转移到攻击者控制的地址之外,CherryBlos 还利用 OCR 从设备上存储的图像和照片中识别潜在的助记词短语,其结果会定期上传到远程服务器。

Android 恶意软件 CherryBlos

CherryBlos的目标用户和地区

该活动的成功取决于用户倾向于在其设备上截取钱包恢复短语的可能性。趋势科技表示,它还在 Google Play 商店中发现了一款由 CherryBlos 威胁行为者开发的应用程序,但其中没有嵌入恶意软件。该应用程序名为 Synthnet,现已被谷歌下架。威胁行为者似乎还与另一个涉及 31 个诈骗赚钱应用程序的活动重叠,这些应用程序被称为 FakeTrade,基于共享网络基础设施和应用程序证书托管在官方应用程序市场上。大多数应用程序于 2021 年上传到 Play 商店,并被发现针对马来西亚、越南、印度尼西亚、菲律宾、乌干达和墨西哥的 Android 用户。

防范措施与警惕性

因此,用户在保持警惕时从未经验证的来源下载应用程序,验证开发者信息并审查应用程序评论是降低潜在风险的关键。谷歌并没有忽视这一事实:没有什么可以阻止威胁行为者在 Play 商店上创建虚假开发者帐户来传播恶意软件