Phần mềm độc hại Android mới CherryBlos sử dụng OCR để đánh cắp dữ liệu nhạy cảm

www.tuoitre.vn -   26/07/2023 08:00:00 253

Một chủng phần mềm độc hại Android mới có tên CherryBlos đã được quan sát thấy sử dụng các kỹ thuật nhận dạng ký tự quang học (OCR) để thu thập dữ liệu nhạy cảm được lưu trữ trong ảnh.

Phần mềm độc hại Android mới CherryBlos sử dụng OCR để đánh cắp dữ liệu nhạy cảm

CherryBlos được phân phối thông qua các bài đăng không có thật trên các nền tảng truyền thông xã hội và có khả năng đánh cắp thông tin xác thực liên quan đến ví tiền điện tử và hoạt động như một công cụ cắt để thay thế địa chỉ ví khi nạn nhân sao chép chuỗi khớp với định dạng được xác định trước được sao chép vào khay nhớ tạm.

Sau khi được cài đặt, các ứng dụng tìm kiếm quyền của người dùng để cấp cho nó quyền truy cập, điều này cho phép ứng dụng tự động cấp cho mình các quyền bổ sung theo yêu cầu. Như một biện pháp trốn tránh phòng vệ, người dùng cố gắng tắt hoặc gỡ cài đặt ứng dụng bằng cách vào ứng dụng Cài đặt sẽ được chuyển hướng trở lại màn hình chính.

Bên cạnh việc hiển thị các lớp phủ giả mạo trên các ứng dụng ví tiền điện tử hợp pháp để đánh cắp thông tin đăng nhập và thực hiện chuyển tiền gian lận đến địa chỉ do kẻ tấn công kiểm soát, CherryBlos sử dụng OCR để nhận dạng các cụm từ ghi nhớ tiềm năng từ hình ảnh và ảnh được lưu trữ trên thiết bị, kết quả của chúng được tải lên định kỳ đến một máy chủ từ xa.

Thành công của chiến dịch dựa trên khả năng người dùng có xu hướng chụp ảnh màn hình các cụm từ khôi phục ví trên thiết bị của họ.

Các chuyên gia bảo mật cho biết họ cũng đã tìm thấy một ứng dụng được phát triển bởi các tác nhân đe dọa CherryBlos trên Google Play Store nhưng không có phần mềm độc hại được nhúng trong đó. Ứng dụng có tên Synthnet đã bị Google gỡ xuống.

Các tác nhân đe dọa dường như cũng chia sẻ các điểm trùng lặp với một nhóm hoạt động khác liên quan đến 31 ứng dụng kiếm tiền lừa đảo, có tên là FakeTrade, được lưu trữ trên thị trường ứng dụng chính thức dựa trên việc sử dụng cơ sở hạ tầng mạng được chia sẻ và chứng chỉ ứng dụng.

Hầu hết các ứng dụng đã được tải lên Play Store vào năm 2021 và được phát hiện là nhắm mục tiêu đến người dùng Android ở Malaysia, Việt Nam, Indonesia, Philippines, Uganda và Mexico.

Không có gì ngạc nhiên khi các tác giả phần mềm độc hại liên tục tìm kiếm các phương pháp mới để thu hút nạn nhân và đánh cắp dữ liệu nhạy cảm trong bối cảnh các mối đe dọa mạng không ngừng phát triển.

Google, năm ngoái, đã bắt đầu thực hiện các bước để hạn chế việc các ứng dụng Android giả mạo sử dụng sai API trợ năng để bí mật thu thập thông tin từ các thiết bị bị xâm nhập bằng cách chặn hoàn toàn các ứng dụng được tải sẵn sử dụng các tính năng trợ năng.

Nhưng những kẻ đánh cắp và kẻ cắt chỉ đại diện cho một trong nhiều loại phần mềm độc hại – chẳng hạn như phần mềm gián điệp và phần mềm theo dõi – được sử dụng để theo dõi mục tiêu và thu thập thông tin quan tâm, gây ra các mối đe dọa nghiêm trọng đối với quyền riêng tư và bảo mật cá nhân.

Nghiên cứu mới được công bố trong tuần này cho thấy một ứng dụng giám sát có tên SpyHide đang lén lút thu thập dữ liệu điện thoại cá nhân từ gần 60.000 thiết bị Android trên toàn thế giới kể từ ít nhất là năm 2016.

"Một số người dùng (nhà điều hành) có nhiều thiết bị được kết nối với tài khoản của họ, với một số có tới 30 thiết bị mà họ đã theo dõi trong nhiều năm, theo dõi mọi người trong cuộc sống của họ", một nhà nghiên cứu bảo mật cho biết. bởi tên maia đốt phá tội phạm, cho biết.

Do đó, điều quan trọng đối với người dùng là luôn cảnh giác khi tải xuống ứng dụng từ các nguồn chưa được xác minh, xác minh thông tin nhà phát triển và xem xét kỹ lưỡng các bài đánh giá ứng dụng để giảm thiểu rủi ro tiềm ẩn.

Thực tế là không có gì ngăn cản những kẻ đe dọa tạo tài khoản nhà phát triển không có thật trên Cửa hàng Play để phân phối phần mềm độc hại đã không được Google chú ý.

Đầu tháng này, gã khổng lồ tìm kiếm đã thông báo rằng họ sẽ yêu cầu tất cả các tài khoản nhà phát triển mới đăng ký với tư cách là một tổ chức cung cấp số D-U-N-S hợp lệ do Dun & Bradstreet chỉ định trước khi gửi ứng dụng nhằm nỗ lực tạo dựng lòng tin của người dùng. Thay đổi có hiệu lực vào ngày 31 tháng 8 năm 2023.

Hương – Theo TheHackerNews

TIN CÙNG CHUYÊN MỤC

Những kẻ lừa đảo đang sử dụng khuôn mặt ...

29/02/2024 08:00:00 32
Gần đây, một loại phần mềm độc hại trên điện thoại thông minh mới có tên Gold Pickaxe được thiết kế ...

Lỗ hổng SQLi nghiêm trọng trong plugin W...

28/02/2024 08:00:00 19
Một lỗ hổng bảo mật nghiêm trọng đã được tiết lộ trong một plugin WordPress phổ biến có tên Ultimate...

Lỗ hổng bảo mật mức độ nghiêm trọng cao ...

23/02/2024 08:00:00 47
Thông tin chi tiết đã xuất hiện về một lỗ hổng bảo mật mức độ nghiêm trọng cao hiện đã được vá trong...

Apple công bố giao thức PQ3 - Mã hóa hậu...

22/02/2024 08:00:00 38
Apple đã công bố một giao thức mã hóa hậu lượng tử mới có tên PQ3 mà họ cho biết sẽ được tích hợp và...

Lỗ hổng Wi-Fi mới làm cho thiết bị Andro...

21/02/2024 08:00:00 51
Các nhà nghiên cứu an ninh mạng đã xác định được hai lỗ hổng cho phép bỏ qua xác thực trong phần mềm...

Lỗ hổng nghiêm trọng trên WordPress đang...

20/02/2024 08:00:00 33
Một lỗ hổng bảo mật nghiêm trọng trong chủ đề Bricks dành cho WordPress đang bị các tác nhân đe dọa ...
Xem thêm

LIÊN HỆ

Thông tin liên hệ