吳明宜安全廠商趨勢科技發現一支罕見的 Android 惡意程式,利用光學字元辨識 (OCR) 來竊取顯示在手機螢幕上的登入憑證。
趨勢科技發現的這隻名為 CherryBlos 已經嵌入至少 4 款 Android 應用程式,特別是會在詐騙內容的網站(非 Google Play)發佈的 App 。研究人員指出,4 款 App 都是由同一群開發商開發,其中一款 App 已上線將近一個月,但它們原本沒有都 CherryBlos 程式。
以下這些網站的 App 內嵌了 CherryBlos:
| Label | Package name | Phishing domain |
|---|---|---|
| GPTalk | com.gptalk.wallet | chatgptc[.]io |
| Happy Miner | com.app.happyminer | happyminer[.]com |
| Robot 999 | com.example.walljsdemo | robot999[.]net |
| SynthNet | com.miner.synthnet | synthnet[.]ai |
這些 App 很刻意隱藏其惡意功能。它們使用名為「360 加固保」的商用軟體來加密其程式碼及程式串,防止被安全軟體偵測。此外它們還能長期在 Android 手機上背景運作,一旦用戶開啟 Binance 或其他加密貨幣服務,CherryBlos 就會外覆在視窗上一層,以便在用戶以為自己在 App 輸入密碼時竊取。在關閉時,它還將受害者選擇的電子錢包網址代換成攻擊者控制的網域。
不過這支惡意程式最特別的是,它會以 OCR 攫取密碼片語 (passphrase),即由英文字母和字元組成的憑證。一旦開啟合法 App 輸入密碼片語,它 CherryBlos 會先拍下螢幕擷圖,再以 OCR 翻譯成文字格式,再將憑證定期傳送給外部 C&C 伺服器。
這種使用 OCR 的能力,在惡意程式中並不多見。
但和許多金融木馬程式一樣,CherryBlos 需要手機輔助功能的存取權。用戶開啟 App 時,它會讓 App 跳出要求許可存取輔助功能的對話框。而存取官網時也會以 WebView 顯示要求,以避免用戶懷疑。
除了拍照外,CherryBlos 還會執行其他活動,包括自動按前述對話框的「允許」鍵,並在用戶輸入應用設定時,將其送回主頁,可能是避免安全軟體啟動偵測或刪除。
研究人員還偵測到 Google Play 上有 31 支 App,都是使用和 CherryBlos 相同的數位憑證或攻擊者基礎架構。雖然不包含惡意程式,但也被標為可疑程式。
Google 已經在 Google Play 上移除所有這些 App 。
安全廠商提醒,為了減少中標的機率,用戶不要在第三方網站下載(即側載)不熟悉的 App 。安裝前應仔細審閱其他用戶的評論,最好看看是否有提及可能是惡意程式。此外也應小心 App 要求的許可,特別是要求輔助功能存取權限者。
來源:Ars Technica