Στο Android, βρέθηκε ένας ιός που αναγνωρίζει χαρακτήρες σε στιγμιότυπα οθόνης για να κλέψει δεδομένα

Ειδικοί σε θέματα ασφάλειας πληροφοριών από την Trend Micro ανακαλύφθηκε σπάνιο κακόβουλο λογισμικό Android. Λέγεται Cherry Blos. Οι εισβολείς το χρησιμοποιούν για να κλέψουν τα διαπιστευτήρια χρήστη.

Ο ιός είναι ενσωματωμένος σε δεκάδες εφαρμογές που διανέμονται κυρίως μέσω ιστοτόπων που διαφημίζουν δόλια σχήματα. Μερικά από αυτά ήταν και στο Google Play, αλλά χωρίς το περιεχόμενο του Trojan.

Αυτές οι εφαρμογές κρύβουν προσεκτικά την κακόβουλη λειτουργικότητά τους και χρησιμοποιούν την πληρωμένη έκδοση του λογισμικού Jiagubao για να κρυπτογραφήσουν τον κώδικά τους. Επιπλέον, διαθέτουν ενσωματωμένα εργαλεία που εγγυώνται συνεχή δραστηριότητα σε μολυσμένα τηλέφωνα.

Το CherryBlos λειτουργεί ως εξής: όταν ένας χρήστης ανοίγει τις επίσημες εφαρμογές των υπηρεσιών κρυπτονομισμάτων, ο ιός εκτοξεύει ψεύτικες ειδοποιήσεις που Προσομοιάζω πραγματικά παράθυρα στην οθόνη του smartphone και κατά την ανάληψη χρημάτων, αλλάζει τη διεύθυνση του πορτοφολιού που έχει επιλέξει το θύμα σε μια διεύθυνση που ελέγχεται από επιτεθείς.

Η πιο ενδιαφέρουσα πτυχή, οι ειδικοί αποκαλούν μια σπάνια, αν όχι νέα δυνατότητα που επιτρέπει στον ιό να υποκλέψει τις φράσεις πρόσβασης που χρησιμοποιούνται για να αποκτήσει πρόσβαση στον λογαριασμό. Όταν η επίσημη εφαρμογή το εμφανίζει στο τηλέφωνο, το κακόβουλο λογισμικό λαμβάνει πρώτα ένα στιγμιότυπο οθόνης και μετά χρησιμοποιεί οπτική αναγνώριση χαρακτήρων (OCR) για τη μετάφραση μιας εικόνας σε μορφή κειμένου που μπορεί να χρησιμοποιηθεί για χακάρισμα.

Οι περισσότερες οικονομικές εφαρμογές χρησιμοποιούν ένα εργαλείο που αποτρέπει τη λήψη στιγμιότυπου οθόνης κατά τη διάρκεια συναλλαγών ή άλλων ευαίσθητων συναλλαγών. Αλλά το CherryBlos φαίνεται να παρακάμπτει και αυτά τα μπλοκ. Προφανώς λαμβάνει με κάποιο τρόπο την άδεια πρόσβασης που χρησιμοποιείται για άτομα με προβλήματα όρασης ή άλλες αναπηρίες.

Στο Google Play, οι ειδικοί βρήκαν τέσσερις κύριες και δεκάδες πρόσθετες εφαρμογές. Κανένα από αυτά δεν περιείχε κακόβουλο φορτίο, ωστόσο, έχουν ήδη αφαιρεθεί από την αγορά. Ο ιός υποτίθεται ότι βρίσκεται μόνο στις εκδόσεις ιστού τους. Μπορείτε να δείτε ολόκληρη τη λίστα Εδώ.