发现了一种新的恶意软件,该恶意软件使用独特的技术来通过光学字符识别来窃取用户的凭据。这意味着恶意软件能够“查看”用户键入的字符,以便获得密码,登录和访问。
使用独特技术发现的恶意软件从用户那里窃取信息并访问某些应用程序
根据ARS Technica,恶意软件是由安全公司Trend Micro发现的,被称为Cherryblos。到目前为止,发现它已嵌入到Google Play以外的至少四个Android应用中。
恶意软件是在某些正在促进赚钱骗局的地点发现的。但是,注意到其中一个应用程序可在Google Play近一个月,但实际上并未包括恶意的樱桃蓝色。
人们指出的是,研究人员能够在Google Play上发现可疑应用程序,这些应用程序实际上是由同一开发人员创建的。但是,他们似乎没有同样的恶意有效载荷。
与研究人员一起发布的恶意应用程序列表,发现恶意软件如何掩盖其功能
趋势微观发布了恶意应用程序的列表,并指出,他们花了很多努力才能掩盖恶意功能。据报道,开发人员使用了商业软件Jiagubao的付费版本来加密代码和代码字符串,以使分析更难检测功能。
据报道,开发人员还采用了技术,以确保该应用程序在用户的手机上仍保持活跃。每当用户打开用于Binance等加密服务的合法应用程序时,Cherryblos就会覆盖窗口并简单地模仿合法的应用程序。
Cherryblos恶意软件在提款时如何起作用,包括加密钱包地址
退出后,Cherryblos将加密钱包地址,从而导致受害者将资金发送到攻击者控制的另一个地址。使恶意软件变得更加有趣的是它的稀有性和它不是新颖的事实,使他们可以捕获助记符的密码短语获得帐户访问。
当这些合法的应用程序在屏幕上显示密码短语时,恶意软件将拍摄屏幕的图像,使用OCR能够将图像转换为文本,然后使用信息突袭用户的帐户。
Cherryblos通过使用残疾可及性权限绕过限制
研究人员指出,与银行和金融有关的大多数应用程序通常都会使用设置,该设置将在用户处理敏感交易时都会阻止任何屏幕截图。但是,Cherryblos似乎能够绕过这些限制。
据报道,Cherryblos通过获得视觉障碍或其他残疾类型的人使用的可访问权限来绕过这一点。在对使用OCR的恶意软件的先前情况进行调查后,结果又回来了,这表明这可能不是常见的做法。
