I ricercatori di sicurezza hanno scoperto un raro esempio di malware: applicazioni Android malevole che utilizzano il riconoscimento ottico dei caratteri (OCR) per rubare le credenziali visualizzate sugli schermi dei telefoni. Il malware, denominato CherryBlos dai ricercatori della società di sicurezza Trend Micro, è stato incorporato in almeno quattro applicazioni Android disponibili al di fuori di Google Play.
Tecniche avanzate di CherryBlos
Le applicazioni infette da CherryBlos hanno adottato misure estreme per nascondere la loro funzionalità malevola. Hanno utilizzato una versione a pagamento del software commerciale Jiagubao per crittografare il codice e le stringhe di codice, al fine di prevenire analisi che potrebbero rilevare tale funzionalità. Hanno anche adottato tecniche per garantire che l’app rimanesse attiva sui telefoni che l’avevano installata.
Funzionalità OCR
L’aspetto più interessante del malware è la sua rara, se non nuova, funzionalità che consente di catturare le frasi di accesso mnemoniche utilizzate per accedere a un account. Quando le app legittime visualizzano le frasi di accesso sugli schermi dei telefoni, il malware prima scatta un’immagine dello schermo e poi utilizza l’OCR per tradurre l’immagine in un formato di testo che può essere utilizzato per saccheggiare l’account.
Evasione delle restrizioni
La maggior parte delle app relative a banche e finanze utilizza una impostazione che impedisce di fare screenshot durante transazioni sensibili. CherryBlos sembra aggirare tali restrizioni ottenendo permessi di accessibilità utilizzati da persone con problemi di vista o altri tipi di disabilità.
Applicazioni infette
CherryBlos è stato incorporato nelle seguenti applicazioni disponibili da questi siti web:
- GPTalk (com.gptalk.wallet) da chatgptc[.]io
- Happy Miner (com.app.happyminer) da happyminer[.]com
- Robot 999 (com.example.walljsdemo) da robot999[.]net
- SynthNet (com.miner.synthnet) da synthnet[.]ai
L’attore della minaccia dietro queste campagne ha impiegato tecniche avanzate per evitare il rilevamento, come il packing del software, l’offuscamento e l’abuso del servizio di accessibilità di Android. Queste campagne hanno preso di mira un pubblico globale e continuano a rappresentare un rischio significativo per gli utenti, come dimostra la presenza continua di app malevole su Google Play.