.
Getty Images
Pesquisadores de segurança descobriram uma rara descoberta de malware: aplicativos Android maliciosos que usam reconhecimento óptico de caracteres para roubar credenciais exibidas nas telas do telefone.
O malware, apelidado de CherryBlos por pesquisadores da empresa de segurança Trend Micro, foi incorporado em pelo menos quatro aplicativos Android disponíveis fora do Google Play, especificamente em sites que promovem golpes para ganhar dinheiro. Um dos aplicativos ficou disponível por quase um mês no Google Play, mas não continha a carga maliciosa CherryBlos. Os pesquisadores também descobriram aplicativos suspeitos no Google Play que foram criados pelos mesmos desenvolvedores, mas também não continham a carga útil.
técnicas avançadas
Os aplicativos tiveram muito cuidado para ocultar sua funcionalidade maliciosa. Eles usaram uma versão paga do software comercial conhecido como Jiagubao para criptografar o código e as sequências de código para evitar análises que possam detectar tal funcionalidade. Eles também apresentaram técnicas para garantir que o aplicativo permanecesse ativo nos telefones que o instalaram. Quando os usuários abriram aplicativos legítimos para Binance e outros serviços de criptomoeda, o CherryBlos sobrepôs janelas que imitavam as dos aplicativos legítimos. Durante as retiradas, a CherryBlos substituiu o endereço da carteira que a vítima selecionou para receber os fundos por um endereço controlado pelo invasor.
O aspecto mais interessante do malware é seu recurso raro, se não novo, que permite capturar senhas mnemônicas usadas para obter acesso a uma conta. Quando os aplicativos legítimos exibem senhas nas telas do telefone, o malware primeiro obtém uma imagem da tela e usa o OCR para traduzir a imagem em um formato de texto que pode ser usado para invadir a conta.
“Uma vez concedido, o CherryBlos realizará as duas tarefas a seguir: 1. Ler as imagens do armazenamento externo e usar o OCR para extrair o texto dessas imagens [and] 2. Envie os resultados do OCR para o servidor C&C em intervalos regulares”, escreveram os pesquisadores.
A maioria dos aplicativos relacionados a bancos e finanças usa uma configuração que impede a captura de tela durante transações confidenciais. CherryBlos parece contornar essas restrições obtendo permissões de acessibilidade usadas por pessoas com deficiência visual ou outros tipos de deficiência.
As pesquisas por instâncias anteriores de malware que usam OCR não deram em nada, sugerindo que a prática não é comum. Os representantes da Trend Micro não responderam a um e-mail perguntando se há outros exemplos.
CherryBlos foi incorporado nos seguintes aplicativos disponíveis nesses sites:
| Rótulo | Nome do pacote | domínio de phishing |
|---|---|---|
| GPTalk | com.gptalk.wallet | chatgptc[.]io |
| feliz mineiro | com.app.happyminer | feliz mineiro[.]com |
| Robô 999 | com.example.walljsdemo | robot999[.]líquido |
| SynthNetName | com.miner.synthnet | synthnet[.]ai |
“Como a maioria dos trojans bancários modernos, o CherryBlos requer permissões de acessibilidade para funcionar”, escreveram os pesquisadores. “Quando o usuário abrir o aplicativo, ele exibirá uma janela de diálogo pop-up solicitando aos usuários que ativem as permissões de acessibilidade. Um site oficial também será exibido via WebView para evitar suspeitas da vítima.”
Depois que o aplicativo malicioso obtém as permissões, ele as utiliza não apenas para capturar imagens de informações confidenciais exibidas nas telas, mas também para realizar outras atividades nefastas. Eles incluem técnicas de evasão de defesa, como (1) aprovar automaticamente solicitações de permissão clicando automaticamente no botão “permitir” quando um diálogo do sistema aparece e (2) retornar os usuários à tela inicial quando eles inserem as configurações do aplicativo, possivelmente como um anti- desinstalação ou contingência anti-kill.
Os aplicativos maliciosos também usam permissões de acessibilidade para monitorar quando um aplicativo de carteira legítimo é iniciado. Quando detectado, ele os usa para iniciar atividades falsas predefinidas. O objetivo é induzir as vítimas a preencherem suas credenciais.
Os pesquisadores encontraram dezenas de aplicativos adicionais, a maioria dos quais hospedados no Google Play, que usavam o mesmo certificado digital ou infraestrutura de ataque dos quatro aplicativos CherryBlos. Embora os 31 aplicativos não contivessem a carga maliciosa, os pesquisadores os sinalizaram.
“Embora esses aplicativos pareçam ter funcionalidade completa na superfície, ainda os encontramos exibindo algum comportamento anormal”, escreveram eles. “Especificamente, todos os aplicativos são muito semelhantes, com a única diferença sendo a linguagem aplicada à interface do usuário, pois são derivados do mesmo modelo de aplicativo. Também descobrimos que a descrição dos aplicativos no Google Play também é a mesma.”
Os pesquisadores disseram que o Google removeu todos esses aplicativos que estavam disponíveis no Play. Uma lista desses aplicativos está disponível aqui.
A pesquisa é apenas a mais recente para ilustrar a ameaça de aplicativos maliciosos. Não há bala de prata para evitar essas ameaças, mas algumas práticas inteligentes podem ajudar muito a atingir esse objetivo. Entre eles:
- Não baixe aplicativos de sites de terceiros e faça o sideload deles, a menos que você saiba o que está fazendo e confie na parte que controla o site.
- Leia as avaliações dos aplicativos antes de instalá-los. Seja especialmente cuidadoso ao procurar avaliações que afirmem que os aplicativos são maliciosos.
- Revise cuidadosamente as permissões exigidas pelo aplicativo, com atenção especial para aplicativos que buscam permissões de acessibilidade.
“O agente de ameaças por trás dessas campanhas empregou técnicas avançadas para evitar a detecção, como compactação de software, ofuscação e abuso do Serviço de Acessibilidade do Android”, escreveram os pesquisadores. “Essas campanhas atingiram um público global e continuam representando um risco significativo para os usuários, conforme evidenciado pela presença contínua de aplicativos maliciosos no Google Play.”
.
