29 июля 2023

На Android нашли вирус, который для кражи данных распознаёт символы на скриншотах

Это, возможно, первый троян, который освоил OCR.

Автор Лайфхакера

Эксперты в области информационной безопасности из Trend Micro обнаружили редкое вредоносное ПО для Android. Называется оно CherryBlos. Злоумышленники используют его для кражи учётных данных пользователей.

Вирус встроен в десятки приложений, которые распространяются в основном через сайты, рекламирующие мошеннические схемы. Некоторые из них были и в Google Play, но без содержания трояна.

Эти приложения тщательно скрывают свою вредоносную функциональность и используют платную версию ПО Jiagubao для шифрования своего кода. Кроме того, в них встроены инструменты, гарантирующие непрерывную активность на заражённых телефонах.

Работает CherryBlos так: когда пользователь открывает официальные приложения криптовалютных служб, вирус запускает фальшивые оповещения, которые имитирую настоящие окна на экране смартфона, а во время вывода средств меняет адрес кошелька, выбранный жертвой, на адрес, контролируемый злоумышленником.

Наиболее интересным аспектом специалисты называют редкую, если не новую функцию, позволяющую вирусу перехватывать фразы-пароли, используемые для получения доступа к учётной записи. Когда официальное приложение отображает его на телефоне, вредоносная программа сначала делает снимок экрана, а затем использует оптическое распознавание символов (OCR) для перевода изображения в текстовый формат, который можно использовать для взлома.

В большинстве финансовых приложений используется инструмент, который предотвращает создание снимка экрана во время транзакций или других конфиденциальных операций. Но CherryBlos, кажется, обходит и эти блоки. Судя по всему, он каким-то образом получает разрешение доступа, используемое для людей с нарушениями зрения или другими ограничениями.

В Google Play специалисты обнаружили четыре основных и десятки дополнительных приложений. Ни одно из них не содержало вредоносной нагрузки, тем не менее, их уже убрали из маркетплейса. Вирус, предположительно, находится лишь в их веб-версиях. Весь список можно посмотреть здесь.

В роутерах MikroTik нашли критическую уязвимость. Под ударом 900 000 устройств

7 лучших бесплатных антивирусов