Esses aplicativos foram expulsos do Google Play depois que as vítimas reclamaram e devem ser excluídos

O primeiro é o CherryBlos e está sendo divulgado por meio de promoção nas redes sociais, direcionando os usuários a sites de phishing que os fazem baixar aplicativos maliciosos. Ele é capaz de roubar credenciais criptográficas e alterar o endereço usado durante o processo de retirada.

O malware usa um empacotador comercial com recursos avançados de proteção chamado Jiagubao para evitar ser detectado. Ele solicita aos usuários que concedam permissões de acessibilidade e segue técnicas anti-kill, como ignorar a otimização da bateria. Ele também envia o usuário de volta à tela inicial quando ele insere as configurações do aplicativo, presumivelmente para evitar a desinstalação.

O modo de ataque é que uma interface falsa é exibida quando um usuário inicia um aplicativo oficial para roubar credenciais. O valor retirado é enviado para o endereço controlado pelo invasor. O malware usa OCR para identificar possíveis frases mnemônicas. Um aplicativo chamado Synthnet feito pelo mesmo desenvolvedor foi encontrado no Google Play, mas não continha o malware.

Os outros aplicativos fazem parte da campanha FakeTrade e induzem as vítimas a baixar supostos aplicativos lucrativos que alegam aumentar a receita por meio de referências e recargas, mas impedem os usuários de sacar seu dinheiro quando tentam fazê-lo.

As vítimas não conseguem sacar dinheiro depois de recarregar suas contas

CherryBlos foi encontrado para ter uma conexão com esses aplicativos e eles estavam disponíveis em diferentes regiões do Google Play, como Indonésia, Malásia, México, Filipinas, Uganda e Vietnã, mas agora foram excluídos. Aqui estão seus nomes: