Androidis leiti viirus, mis tuvastab ekraanipiltidel olevad tähemärgid, et andmeid varastada

Trend Micro infoturbeeksperdid avastatud haruldane Androidi pahavara. Seda nimetatakse Cherry Blosiks. Ründajad kasutavad seda kasutaja mandaatide varastamiseks.

Viirus on põimitud kümnetesse rakendustesse, mida levitatakse peamiselt petuskeeme reklaamivate saitide kaudu. Mõned neist olid ka Google Plays, kuid ilma troojalase sisuta.

Need rakendused peidavad hoolikalt oma pahatahtlikud funktsioonid ja kasutavad koodi krüptimiseks Jiagubao tarkvara tasulist versiooni. Lisaks on neil sisseehitatud tööriistad, mis tagavad pideva tegevuse nakatunud telefonides.

CherryBlos töötab järgmiselt: kui kasutaja avab krüptovaluutateenuste ametlikud rakendused, käivitab viirus võltsitud hoiatusi, mis Simuleerin nutitelefoni ekraanil päris aknaid ja raha väljavõtmise ajal muudab see ohvri valitud rahakoti aadressi aadressiks, mida kontrollib ründaja.

Kõige huvitavamaks aspektiks nimetavad eksperdid haruldast, kui mitte uut funktsiooni, mis võimaldab viirusel kontole juurdepääsu saamiseks kasutatud paroolid pealt kuulata. Kui ametlik rakendus selle telefonis kuvab, teeb pahavara esmalt ekraanipildi ja seejärel kasutab optilist märgituvastust (OCR) pildi tõlkimiseks kasutatavasse tekstivormingusse häkkimise eest.

Enamik finantsrakendusi kasutab tööriista, mis takistab ekraanipiltide tegemist tehingute või muude tundlike tehingute ajal. Kuid tundub, et CherryBlos möödub ka nendest plokkidest. Ilmselt saab see kuidagi juurdepääsuloa, mida kasutatakse nägemispuudega või muude puuetega inimestele.

Google Playst leidsid eksperdid neli peamist ja kümneid lisarakendusi. Ükski neist ei sisaldanud pahatahtlikku laadi, kuid need on juba turult eemaldatud. Viirust leidub väidetavalt ainult nende veebiversioonides. Kogu nimekirja saab vaadata Siin.