Une nouvelle souche de malware Android appelée CeriseBlos a été observé en utilisant des techniques de reconnaissance optique de caractères (OCR) pour recueillir des données sensibles stockées dans des images.
CherryBlos, selon Trend Micro, est distribué via de fausses publications sur les plateformes de médias sociaux et est doté de capacités pour voler les informations d’identification liées au portefeuille de crypto-monnaie et agir comme un clipper pour remplacer les adresses de portefeuille lorsqu’une victime copie une chaîne correspondant à un format prédéfini est copié dans le presse-papiers .
Une fois installées, les applications recherchent les autorisations des utilisateurs pour lui accorder des autorisations d’accessibilité, ce qui lui permet de s’accorder automatiquement des autorisations supplémentaires si nécessaire. En tant que mesure d’évasion de défense, les utilisateurs qui tentent de tuer ou de désinstaller l’application en accédant à l’application Paramètres sont redirigés vers l’écran d’accueil.
En plus d’afficher de fausses superpositions sur des applications de portefeuille crypto légitimes pour voler des informations d’identification et effectuer des transferts de fonds frauduleux vers une adresse contrôlée par un attaquant, CherryBlos utilise l’OCR pour reconnaître les phrases mnémoniques potentielles à partir d’images et de photos stockées sur l’appareil, dont les résultats sont téléchargés périodiquement. à un serveur distant.
Le succès de la campagne repose sur la possibilité que les utilisateurs aient tendance à prendre des captures d’écran des phrases de récupération de portefeuille sur leurs appareils.
Trend Micro a déclaré avoir également trouvé une application développée par les acteurs de la menace CherryBlos sur le Google Play Store, mais sans le logiciel malveillant intégré. L’application, nommée Synthnet, a depuis été supprimée par Google.
Les acteurs de la menace semblent également partager des chevauchements avec un autre ensemble d’activités impliquant 31 applications frauduleuses lucratives, surnommées FakeTrade, hébergées sur le marché officiel des applications basé sur l’utilisation d’une infrastructure réseau partagée et de certificats d’application.
La plupart des applications ont été téléchargées sur le Play Store en 2021 et se sont avérées cibler les utilisateurs d’Android en Malaisie, au Vietnam, en Indonésie, aux Philippines, en Ouganda et au Mexique.
« Ces applications prétendent être des plates-formes de commerce électronique qui promettent une augmentation des revenus aux utilisateurs via des références et des recharges », a déclaré Trend Micro. « Cependant, les utilisateurs ne pourront pas retirer leurs fonds lorsqu’ils tenteront de le faire. »
La divulgation intervient alors que McAfee a détaillé une campagne de phishing par SMS contre les utilisateurs japonais d’Android qui se fait passer pour une société d’infrastructures d’électricité et d’eau pour infecter les appareils avec un logiciel malveillant appelé SpyNote. La campagne a eu lieu début juin 2023.
« Après avoir lancé le logiciel malveillant, l’application ouvre un faux écran de paramètres et invite l’utilisateur à activer la fonction d’accessibilité », a déclaré la semaine dernière Yukihiro Okutomi, chercheur chez McAfee.
« En autorisant le service d’accessibilité, le logiciel malveillant désactive l’optimisation de la batterie afin qu’il puisse s’exécuter en arrière-plan et accorde automatiquement l’autorisation d’installation de source inconnue pour installer un autre logiciel malveillant à l’insu de l’utilisateur. »
Il n’est pas surprenant que les auteurs de logiciels malveillants recherchent constamment de nouvelles approches pour attirer les victimes et voler des données sensibles dans le paysage des cybermenaces en constante évolution.
Google, l’année dernière, a commencé à prendre des mesures pour freiner l’utilisation abusive des API d’accessibilité par des applications Android malveillantes pour collecter secrètement des informations à partir d’appareils compromis en empêchant les applications téléchargées d’utiliser les fonctionnalités d’accessibilité.
Mais les voleurs et les clippers ne représentent qu’un des nombreux types de logiciels malveillants – tels que les logiciels espions et les logiciels de harcèlement – qui sont utilisés pour suivre les cibles et recueillir des informations d’intérêt, posant de graves menaces à la vie privée et à la sécurité.
Une nouvelle étude publiée cette semaine a révélé qu’une application de surveillance appelée SpyHide collecte furtivement des données téléphoniques privées à partir de près de 60 000 appareils Android dans le monde depuis au moins 2016.
« Certains utilisateurs (opérateurs) ont plusieurs appareils connectés à leur compte, certains ayant jusqu’à 30 appareils qu’ils surveillent depuis plusieurs années, espionnant tout le monde dans leur vie », un chercheur en sécurité, qui va par le nom maia incendie criminel crimew, a déclaré.
Il est donc crucial que les utilisateurs restent vigilants lorsqu’ils téléchargent des applications à partir de sources non vérifiées, vérifient les informations des développeurs et examinent les avis des applications pour atténuer les risques potentiels.
Le fait que rien n’empêche les pirates de créer de faux comptes de développeur sur le Play Store pour distribuer des logiciels malveillants n’est pas passé inaperçu pour Google.
Plus tôt ce mois-ci, le géant de la recherche a annoncé qu’il exigerait que tous les nouveaux comptes de développeur s’inscrivant en tant qu’organisation fournissent un numéro DUNS valide attribué par Dun & Bradstreet avant de soumettre des applications dans le but de renforcer la confiance des utilisateurs. Le changement entre en vigueur le 31 août 2023.
