Các nhà nghiên cứu cảnh báo về hai chiến dịch mã độc CherryBlos và FakeTrade, nhắm vào người dùng Android để đánh cắp tiền điện tử và scam với động cơ tài chính. Hai dòng mã độc sử dụng cùng cơ sở hạ tầng mạng và chứng chỉ ứng dụng, cho thấy của cùng một hacker đứng sau.
Các ứng dụng độc hại sử dụng nhiều kênh phân phối khác nhau, bao gồm mạng xã hội, trang web lừa đảo và ứng dụng mua sắm lừa đảo trên Google Play.
Một điểm đặc biệt, CherryBlos sử dụng OCR (nhận dạng ký tự quang học) để trích xuất văn bản từ hình ảnh được lưu trữ trên thiết bị. Ví dụ, khi thiết lập ví điện tử mới, người dùng được cung cấp cụm từ/mật khẩu khôi phục bao gồm 12 ký tự trở lên có thể được sử dụng để khôi phục ví trên máy tính. Sau khi hiển thị những từ này, người dùng được nhắc viết chúng ra và lưu trữ ở nơi an toàn, vì bất kỳ ai có cụm từ này đều có thể sử dụng để thêm ví tiền điện tử của bạn vào thiết bị và truy cập vào số tiền trong đó.
Mặc dù không nên chụp ảnh cụm từ khôi phục của mình, nhưng mọi người vẫn làm điều đó, lưu ảnh trên máy tính và thiết bị di động của họ. Nếu tính năng mã độc này được bật, nó có khả năng OCR hình ảnh và trích xuất cụm từ khôi phục, cho phép hacker đánh cắp ví. Dữ liệu đã thu thập sau đó được gửi trở lại máy chủ của hacker theo định kỳ.
Các nhà nghiên cứu cũng phát hiện sự liên quan với một chiến dịch trên Google Play, trong đó 31 ứng dụng lừa đảo được gọi chung là “FakeTrade” đang sử dụng cùng cơ sở hạ tầng mạng C2 và chứng chỉ như các ứng dụng CherryBlos.
Các ứng dụng này sử dụng các theme mua sắm hoặc kiếm tiền để lừa người dùng xem quảng cáo, đồng ý đăng ký trả phí hoặc nạp tiền vào ví in-app và không cho phép rút tiền từ các phần thưởng ảo.
Các ứng dụng sử dụng giao diện tương tự và thường nhắm mục tiêu đến người dùng ở Malaysia, Việt Nam, Indonesia, Philippines, Uganda và Mexico. Hầu hết các ứng dụng này được tải lên Google Play từ năm 2021 đến năm 2022.
Nguồn: Bleeping Computer