Auf Android wurde ein Virus gefunden, der Zeichen in Screenshots erkennt, um Daten zu stehlen

Informationssicherheitsexperten von Trend Micro entdeckt seltene Android-Malware. Es heißt Cherry Blos. Angreifer nutzen es, um Benutzeranmeldeinformationen zu stehlen.

Der Virus ist in Dutzende Anwendungen eingebettet, die hauptsächlich über Websites verbreitet werden, die für betrügerische Machenschaften werben. Einige davon waren auch bei Google Play zu finden, allerdings ohne den Inhalt des Trojaners.

Diese Anwendungen verbergen sorgfältig ihre schädlichen Funktionen und verwenden die kostenpflichtige Version der Jiagubao-Software, um ihren Code zu verschlüsseln. Darüber hinaus verfügen sie über integrierte Tools, die eine kontinuierliche Aktivität auf infizierten Telefonen gewährleisten.

CherryBlos funktioniert folgendermaßen: Wenn ein Benutzer die offiziellen Anwendungen von Kryptowährungsdiensten öffnet, löst der Virus gefälschte Warnungen aus Ich simuliere echte Fenster auf dem Smartphone-Bildschirm und während der Geldabhebung wird die vom Opfer gewählte Wallet-Adresse in eine von ihm kontrollierte Adresse geändert Angreifer.

Den interessantesten Aspekt nennen Experten eine seltene, wenn nicht sogar neue Funktion, die es dem Virus ermöglicht, die Passphrasen abzufangen, die für den Zugriff auf das Konto verwendet werden. Wenn die offizielle App es auf dem Telefon anzeigt, erstellt die Malware zunächst einen Screenshot und dann nutzt die optische Zeichenerkennung (OCR), um ein Bild in ein verwendbares Textformat zu übersetzen zum Hacken.

Die meisten Finanzanwendungen verwenden ein Tool, das verhindert, dass bei Transaktionen oder anderen sensiblen Transaktionen ein Screenshot erstellt wird. Aber CherryBlos scheint auch diese Blockaden zu umgehen. Anscheinend erhält es irgendwie die Zutrittsberechtigung für Menschen mit Sehbehinderungen oder anderen Behinderungen.

Bei Google Play fanden Experten vier Haupt- und Dutzende Zusatzanwendungen. Keines davon enthielt eine bösartige Ladung, sie wurden jedoch bereits vom Markt entfernt. Der Virus kommt angeblich nur in ihren Webversionen vor. Die gesamte Liste kann eingesehen werden Hier.