Эксперты в области информационной безопасности из Trend Micro обнаружили редкое вредоносное ПО для Android. Называется оно CherryBlos. Злоумышленники используют его для кражи учётных данных пользователей.
Вирус встроен в десятки приложений, которые распространяются в основном через сайты, рекламирующие мошеннические схемы. Некоторые из них были и в Google Play, но без содержания трояна.
Эти приложения тщательно скрывают свою вредоносную функциональность и используют платную версию ПО Jiagubao для шифрования своего кода. Кроме того, в них встроены инструменты, гарантирующие непрерывную активность на заражённых телефонах.
Работает CherryBlos так: когда пользователь открывает официальные приложения криптовалютных служб, вирус запускает фальшивые оповещения, которые имитирую настоящие окна на экране смартфона, а во время вывода средств меняет адрес кошелька, выбранный жертвой, на адрес, контролируемый злоумышленником.
Наиболее интересным аспектом специалисты называют редкую, если не новую функцию, позволяющую вирусу перехватывать фразы-пароли, используемые для получения доступа к учётной записи. Когда официальное приложение отображает его на телефоне, вредоносная программа сначала делает снимок экрана, а затем использует оптическое распознавание символов (OCR) для перевода изображения в текстовый формат, который можно использовать для взлома.
В большинстве финансовых приложений используется инструмент, который предотвращает создание снимка экрана во время транзакций или других конфиденциальных операций. Но CherryBlos, кажется, обходит и эти блоки. Судя по всему, он каким-то образом получает разрешение доступа, используемое для людей с нарушениями зрения или другими ограничениями.
В Google Play специалисты обнаружили четыре основных и десятки дополнительных приложений. Ни одно из них не содержало вредоносной нагрузки, тем не менее, их уже убрали из маркетплейса. Вирус, предположительно, находится лишь в их веб-версиях. Весь список можно посмотреть здесь.