Phần mềm độc hại Android mới CherryBlos sử dụng OCR để đánh cắp dữ liệu nhạy cảm

www.tuoitre.vn -   26/07/2023 08:00:00 465

Một chủng phần mềm độc hại Android mới có tên CherryBlos đã được quan sát thấy sử dụng các kỹ thuật nhận dạng ký tự quang học (OCR) để thu thập dữ liệu nhạy cảm được lưu trữ trong ảnh.

Phần mềm độc hại Android mới CherryBlos sử dụng OCR để đánh cắp dữ liệu nhạy cảm

CherryBlos được phân phối thông qua các bài đăng không có thật trên các nền tảng truyền thông xã hội và có khả năng đánh cắp thông tin xác thực liên quan đến ví tiền điện tử và hoạt động như một công cụ cắt để thay thế địa chỉ ví khi nạn nhân sao chép chuỗi khớp với định dạng được xác định trước được sao chép vào khay nhớ tạm.

Sau khi được cài đặt, các ứng dụng tìm kiếm quyền của người dùng để cấp cho nó quyền truy cập, điều này cho phép ứng dụng tự động cấp cho mình các quyền bổ sung theo yêu cầu. Như một biện pháp trốn tránh phòng vệ, người dùng cố gắng tắt hoặc gỡ cài đặt ứng dụng bằng cách vào ứng dụng Cài đặt sẽ được chuyển hướng trở lại màn hình chính.

Bên cạnh việc hiển thị các lớp phủ giả mạo trên các ứng dụng ví tiền điện tử hợp pháp để đánh cắp thông tin đăng nhập và thực hiện chuyển tiền gian lận đến địa chỉ do kẻ tấn công kiểm soát, CherryBlos sử dụng OCR để nhận dạng các cụm từ ghi nhớ tiềm năng từ hình ảnh và ảnh được lưu trữ trên thiết bị, kết quả của chúng được tải lên định kỳ đến một máy chủ từ xa.

Thành công của chiến dịch dựa trên khả năng người dùng có xu hướng chụp ảnh màn hình các cụm từ khôi phục ví trên thiết bị của họ.

Các chuyên gia bảo mật cho biết họ cũng đã tìm thấy một ứng dụng được phát triển bởi các tác nhân đe dọa CherryBlos trên Google Play Store nhưng không có phần mềm độc hại được nhúng trong đó. Ứng dụng có tên Synthnet đã bị Google gỡ xuống.

Các tác nhân đe dọa dường như cũng chia sẻ các điểm trùng lặp với một nhóm hoạt động khác liên quan đến 31 ứng dụng kiếm tiền lừa đảo, có tên là FakeTrade, được lưu trữ trên thị trường ứng dụng chính thức dựa trên việc sử dụng cơ sở hạ tầng mạng được chia sẻ và chứng chỉ ứng dụng.

Hầu hết các ứng dụng đã được tải lên Play Store vào năm 2021 và được phát hiện là nhắm mục tiêu đến người dùng Android ở Malaysia, Việt Nam, Indonesia, Philippines, Uganda và Mexico.

Không có gì ngạc nhiên khi các tác giả phần mềm độc hại liên tục tìm kiếm các phương pháp mới để thu hút nạn nhân và đánh cắp dữ liệu nhạy cảm trong bối cảnh các mối đe dọa mạng không ngừng phát triển.

Google, năm ngoái, đã bắt đầu thực hiện các bước để hạn chế việc các ứng dụng Android giả mạo sử dụng sai API trợ năng để bí mật thu thập thông tin từ các thiết bị bị xâm nhập bằng cách chặn hoàn toàn các ứng dụng được tải sẵn sử dụng các tính năng trợ năng.

Nhưng những kẻ đánh cắp và kẻ cắt chỉ đại diện cho một trong nhiều loại phần mềm độc hại – chẳng hạn như phần mềm gián điệp và phần mềm theo dõi – được sử dụng để theo dõi mục tiêu và thu thập thông tin quan tâm, gây ra các mối đe dọa nghiêm trọng đối với quyền riêng tư và bảo mật cá nhân.

Nghiên cứu mới được công bố trong tuần này cho thấy một ứng dụng giám sát có tên SpyHide đang lén lút thu thập dữ liệu điện thoại cá nhân từ gần 60.000 thiết bị Android trên toàn thế giới kể từ ít nhất là năm 2016.

"Một số người dùng (nhà điều hành) có nhiều thiết bị được kết nối với tài khoản của họ, với một số có tới 30 thiết bị mà họ đã theo dõi trong nhiều năm, theo dõi mọi người trong cuộc sống của họ", một nhà nghiên cứu bảo mật cho biết. bởi tên maia đốt phá tội phạm, cho biết.

Do đó, điều quan trọng đối với người dùng là luôn cảnh giác khi tải xuống ứng dụng từ các nguồn chưa được xác minh, xác minh thông tin nhà phát triển và xem xét kỹ lưỡng các bài đánh giá ứng dụng để giảm thiểu rủi ro tiềm ẩn.

Thực tế là không có gì ngăn cản những kẻ đe dọa tạo tài khoản nhà phát triển không có thật trên Cửa hàng Play để phân phối phần mềm độc hại đã không được Google chú ý.

Đầu tháng này, gã khổng lồ tìm kiếm đã thông báo rằng họ sẽ yêu cầu tất cả các tài khoản nhà phát triển mới đăng ký với tư cách là một tổ chức cung cấp số D-U-N-S hợp lệ do Dun & Bradstreet chỉ định trước khi gửi ứng dụng nhằm nỗ lực tạo dựng lòng tin của người dùng. Thay đổi có hiệu lực vào ngày 31 tháng 8 năm 2023.

Hương – Theo TheHackerNews

TIN CÙNG CHUYÊN MỤC

ChatGPT sẽ báo lỗi nếu bạn hỏi về cái tê...

03/12/2024 12:00:00 22
Nhiều người đã thử đủ mọi cách, thậm chí chia sẻ ảnh chụp màn hình chứa tin nhắn có tên này hoặc đổi...

Cuộc tấn công Microsoft 365 mới có thể p...

02/12/2024 12:00:00 30
Một cuộc tấn công phishing mới có thể truy cập vào tài khoản Microsoft 365, ngay cả khi mục tiêu đã ...

Người dùng chưa đủ 18 tuổi sẽ không được...

29/11/2024 12:00:00 28
Bộ lọc (filter) làm đẹp là một trong những tính năng quan trọng và gây nghiện cho đa số người dùng n...

Bộ công cụ lừa đảo mới Xiū gǒu nhắm vào ...

28/11/2024 12:00:00 24
Các nhà nghiên cứu an ninh mạng đã tiết lộ một bộ công cụ lừa đảo mới đã được sử dụng trong các chiế...

Kỹ thuật hack này có thể cách ly may tín...

27/11/2024 12:00:00 15
Để làm được điều đó, hacker sử dụng cáp SATA như là một ăng-ten không dây để truyền dữ liệu và thông...

Tính năng Email được bảo vệ mới của Gmai...

26/11/2024 08:00:00 26
Google đang chuẩn bị một tính năng mới có tên là Shielded Email cho phép người dùng tạo bí danh emai...
Xem thêm

LIÊN HỆ

Thông tin liên hệ

Zalo Button