Novi malveri u aplikacijama na Google Play

Mobilni telefoni, 31.07.2023, 09:30 AM

U Google Play prodavnici primećena su dva nova malvera koji kradu akreditive za novčanike za kriptovalute. Reč je o malverima „CherryBlos“ i „FakeTrade“ koji su, sudeći po tome što koriste istu mrežnu infrastrukturu i certifikate, delo istih ljudi.

Malveri su skriveni u aplikacijama koje se distribuiraju različitim kanalima, uključujući društvene mreže, fišing sajtove i Googleovu zvaničnu prodavnicu aplikacija za Android.

CherryBlos je prvi put viđen u aprilu ove godine u APK fajlovima koji su reklamirani na Twitteru, Telegramu i YouTubeu kao AI alati i aplikacije za rudarenje kriptovaluta kao što su GPTalk, Happy Miner, Robot999 i SynthNet. Ova poslednja aplikacija objavljena je u Play prodavnici odakle je preuzeta oko hiljadu puta pre nego što je prijavljena i uklonjena.

CherryBlos je malver koji krade kriptovalute zloupotrebljavajući dozvole za usluge pristupačnosti koje su mu potrebne da bi preuzeo dva konfiguraciona fajla sa servera za komandu i kontrolu, automatski odobrio dodatne dozvole i sprečio korisnika da ugasi trojanizovanu aplikaciju.

Malver koristi niz taktika, ali je glavna njegova taktika za krađu akreditiva i kriptovaluta učitavanje lažnog korisničkog interfejsa legitimnih aplikacija. Ali malver takođe koristi OCR (optical character recognition) za izdvajanje teksta iz slika i fotografija sačuvanih na uređaju. Na primer, prilikom podešavanja novih novčanika za kriptovalute, korisnicima se daje fraza/lozinka za oporavak koja se sastoji od 12 ili više reči koje se mogu koristiti za oporavak novčanika. Nakon prikazivanja ovih reči, od korisnika se traži da ih zapišu i čuvaju na bezbednom mestu, jer svako ko ima ovu frazu može da je koristi i doda kripto novčanik na svoj uređaj a zatim pristupi sredstvima u njemu. Iako se ne preporučuje fotografisanje fraze za oporavak, ljudi to ipak rade, i čuvaju ovakve fotografije na svojim računarima i mobilnim uređajima.

Ako je ova funkcija malvera omogućena, on bi mogao da izdvoji frazu za oporavak sa fotografije, omogućavajući napadačima da ukradu novčanik.

Prikupljeni podaci se šalju na server pod kontrolom napadača u redovnim intervalima.

Malver funkcioniše i kao tzv. “clipper” za aplikaciju Binance, automatski menjajući adresu kripto novčanika korisnika sa onom koja je pod kontrolom napadača. Ovo omogućava napadačima da preusmere uplate poslate korisnicima na njihove sopstvene novčanike.

Istraživači kompanije Trend Micro koji su zaslužni za otkrivanje malvera CherryBlos u Play prodavnici, otkrili su i 31 aplikaciju pod zajedničkim nazivom „FakeTrade“. Ove aplikacije su koristile istu C2 mrežnu infrastrukturu i sertifikate kao i CherryBlos aplikacije.

FakeTrade aplikacije koriste teme vezane za kupovinu ili zaradu kao mamce koji navode korisnike da gledaju oglase i pristanu na premijum pretplatu, ali im nikada ne dozvoljavaju da unovče virtuelne nagrade.

Aplikacije imaju sličan interfejs i uglavnom ciljaju na korisnike u Maleziji, Vijetnamu, Indoneziji, Filipinima, Ugandi i Meksiku. Većina njih je objavljena na Google Play između 2021. i 2022. godine. Aplikacije su posle prijave uklonjene iz Play prodavnice, ali tek pošto su ih preuzele hiljade korisnika koji će morati da ih sami uklone sa svojih zaraženih uređaja.

Foto: Mika Baumeister / Unsplash