Su Android è stato trovato un virus che riconosce i caratteri negli screenshot per rubare dati

Esperti di sicurezza delle informazioni di Trend Micro scoperto raro malware Android. Si chiama Cherry Blos. Gli aggressori lo usano per rubare le credenziali degli utenti.

Il virus è incorporato in dozzine di applicazioni distribuite principalmente attraverso siti che pubblicizzano schemi fraudolenti. Alcuni di loro erano anche su Google Play, ma senza il contenuto del trojan.

Queste applicazioni nascondono accuratamente le loro funzionalità dannose e utilizzano la versione a pagamento del software Jiagubao per crittografare il loro codice. Inoltre, dispongono di strumenti integrati che garantiscono un'attività continua sui telefoni infetti.

CherryBlos funziona così: quando un utente apre le applicazioni ufficiali dei servizi di criptovaluta, il virus lancia falsi avvisi che Simulo finestre reali sullo schermo dello smartphone e, durante il prelievo di fondi, cambia l'indirizzo del portafoglio scelto dalla vittima in un indirizzo controllato da aggressore.

L'aspetto più interessante, gli esperti chiamano una funzionalità rara, se non nuova, che consente al virus di intercettare le passphrase utilizzate per accedere all'account. Quando l'app ufficiale lo visualizza sul telefono, il malware acquisisce prima uno screenshot e poi utilizza il riconoscimento ottico dei caratteri (OCR) per tradurre un'immagine in un formato di testo utilizzabile per hacking.

La maggior parte delle applicazioni finanziarie utilizza uno strumento che impedisce l'acquisizione di uno screenshot durante le transazioni o altre transazioni sensibili. Ma CherryBlos sembra aggirare anche questi blocchi. Apparentemente ottiene in qualche modo il permesso di accesso utilizzato per le persone con disabilità visive o altre disabilità.

Su Google Play, gli esperti hanno trovato quattro applicazioni principali e dozzine di applicazioni aggiuntive. Nessuno di loro conteneva un carico dannoso, tuttavia, sono già stati rimossi dal mercato. Il virus si trova presumibilmente solo nelle loro versioni web. È possibile visualizzare l'intero elenco Qui.