Op Android is een virus gevonden dat karakters in screenshots herkent om gegevens te stelen

Informatiebeveiligingsexperts van Trend Micro ontdekt zeldzame Android-malware. Het heet Cherryblos. Aanvallers gebruiken het om gebruikersreferenties te stelen.

Het virus is ingebed in tientallen applicaties die voornamelijk worden verspreid via sites die reclame maken voor frauduleuze plannen. Sommigen van hen waren ook op Google Play, maar zonder de inhoud van de Trojan.

Deze applicaties verbergen hun kwaadaardige functionaliteit zorgvuldig en gebruiken de betaalde versie van de Jiagubao-software om hun code te versleutelen. Bovendien hebben ze ingebouwde tools die continue activiteit op geïnfecteerde telefoons garanderen.

CherryBlos werkt als volgt: wanneer een gebruiker de officiële applicaties van cryptocurrency-services opent, lanceert het virus valse waarschuwingen Ik simuleer echte vensters op het smartphonescherm en tijdens het opnemen van geld verandert het door het slachtoffer gekozen portemonnee-adres in een adres dat wordt gecontroleerd door aanvaller.

Het meest interessante aspect noemen experts een zeldzame, zo niet nieuwe functie waarmee het virus de wachtwoordzinnen kan onderscheppen die worden gebruikt om toegang te krijgen tot het account. Wanneer de officiële app het op de telefoon weergeeft, maakt de malware eerst een screenshot en daarna maakt gebruik van optische tekenherkenning (OCR) om een ​​afbeelding te vertalen naar een tekstindeling die kan worden gebruikt voor hacken.

De meeste financiële applicaties gebruiken een tool die voorkomt dat er een screenshot wordt gemaakt tijdens transacties of andere gevoelige transacties. Maar CherryBlos lijkt ook deze blokkades te omzeilen. Blijkbaar krijgt het op de een of andere manier de toegangsrechten die worden gebruikt voor mensen met visuele beperkingen of andere handicaps.

Op Google Play vonden experts vier hoofd- en tientallen aanvullende applicaties. Geen van hen bevatte een kwaadaardige lading, maar ze zijn al van de marktplaats verwijderd. Het virus wordt vermoedelijk alleen gevonden in hun webversies. De hele lijst kan worden bekeken Hier.