Androidissa löydettiin virus, joka tunnistaa kuvakaappauksissa olevat merkit varastaakseen tietoja

Trend Micron tietoturva-asiantuntijat löydetty harvinainen Android-haittaohjelma. Sen nimi on Cherry Blos. Hyökkääjät käyttävät sitä varastaakseen käyttäjätunnuksia.

Virus on upotettu kymmeniin sovelluksiin, joita levitetään pääasiassa petollisia järjestelmiä mainostavien sivustojen kautta. Jotkut niistä olivat myös Google Playssa, mutta ilman troijalaisen sisältöä.

Nämä sovellukset piilottavat haitalliset toiminnallisuutensa huolellisesti ja käyttävät Jiagubao-ohjelmiston maksullista versiota koodinsa salaamiseen. Lisäksi niissä on sisäänrakennetut työkalut, jotka takaavat jatkuvan toiminnan tartunnan saaneilla puhelimilla.

CherryBlos toimii näin: kun käyttäjä avaa kryptovaluuttapalveluiden viralliset sovellukset, virus lähettää väärennettyjä hälytyksiä Simuloin oikeita ikkunoita älypuhelimen näytöllä ja varojen noston aikana se muuttaa uhrin valitseman lompakon osoitteen hyökkääjä.

Mielenkiintoisimpana näkökohtana asiantuntijat kutsuvat harvinaista, ellei uusi ominaisuutta, jonka avulla virus voi siepata salalauseita, joita käytetään pääsyyn tilille. Kun virallinen sovellus näyttää sen puhelimessa, haittaohjelma ottaa ensin kuvakaappauksen ja sitten käyttää optista merkintunnistusta (OCR) kääntääkseen kuvan tekstimuotoon, jota voidaan käyttää hakkerointia varten.

Useimmat taloussovellukset käyttävät työkalua, joka estää kuvakaappauksen ottamisen tapahtumien tai muiden arkaluonteisten tapahtumien aikana. Mutta CherryBlos näyttää ohittavan myös nämä lohkot. Ilmeisesti se saa jotenkin näkövammaisten tai muiden vammaisten henkilöiden käyttöoikeudet.

Asiantuntijat löysivät Google Playsta neljä pääsovellusta ja kymmeniä lisäsovelluksia. Mikään niistä ei sisältänyt haitallista kuormaa, mutta ne on kuitenkin jo poistettu markkinoilta. Viruksen oletetaan löytyvän vain heidän verkkoversioistaan. Koko lista on katsottavissa Tässä.