Android 新的惡意軟體 – 使用影像辨識竊取助記詞

發生了什麼事

趨勢科技在28號發表了一篇文章，提到了兩個惡意軟體 – 「CherryBlos」和「FakeTrade」，這兩個 Android 惡意軟體，而主要攻擊就是為了虛擬貨幣相關的助記詞及資金。

這些惡意軟體透過多種方式傳播，包括社交媒體、釣魚網站以及Google Play上的假購物應用程式。

CherryBlos

CherryBlos 惡意軟件是首次在2023年4月發現的，以APK（Android的安裝檔）文件的形式在 Telegram、 Twitter 和 YouTube 上推廣，冒充人工智慧工具或挖礦應用程式。

⬆️趨勢科技提供的惡意軟體的宣傳截圖。 簡單翻譯一下 : AI挖礦，無限收穫 (偽裝成一個挖礦軟體)

惡意APK分別用過GPTalk、Happy Miner、Robot999和SynthNet這幾個名字來包裝。

惡意軟體甚至上過Google Play官方商城，而在被移除前也累積了近1000次下載。

CherryBlos使用多種策略來竊取加密貨幣的認證和資產，其中主要策略是載入假用戶介面，模仿官方應用程式以釣魚取得認證。

然而，跟以往不一樣的是可以啟用OCR（光學字元辨識），從裝置上儲存的圖像和照片中提取文字(提取助記詞)。

相信有玩虛擬貨幣的夥伴，都知道「助記詞」吧，這裡很簡單的幫不清楚的小夥伴科普一下

虛擬貨幣開戶時，會提供一組約 12到24 個簡單單字，而那就是「助記詞」，其實也就是你數位戶頭的密碼

⬆️執行OCR的惡意辨識程式

這個惡意軟體還會對幣安(Binance) 應用程式進行剪貼簿劫持，它會自動將加密貨幣接收者的位址替換為攻擊者控制的位址，而原始位址對使用者而言看似沒有變化。

而這就可以讓駭客將付款直接指向到他們自己的錢包，從而有效地竊取轉移的資金。

FakeTrade

趨勢科技工程師還發現了另外一個詐騙軟體集團，稱作「FakeTrade」，共有31個應用程式，而與「CherryBlos 」採用了相同的C2網路架構和證書。

這些應用程式使用購物或賺錢誘騙手法，讓用戶在觀看廣告、同意訂閱或為應用程式錢包儲值時受騙，卻無法兌換虛擬獎勵。

這些應用程式使用類似的界面，主要針對馬來西亞、越南、印尼、菲律賓、烏干達和墨西哥的用戶，而大部分應用程式是在2021年至2022年間上傳至Google Play的。

⬆️其中一個有問題的應用程式，已經有高達1萬次下載以上

結論

惡意軟體的演進總是防不勝防啊! 之前總說不要將密碼等資訊寫下來或是拍起來，但又有幾個人能真的都保持這麼良好的習慣呢。

文章參考來源 :

• New Android malware uses OCR to steal credentials from images (bleepingcomputer.com)
• Related CherryBlos and FakeTrade Android Malware Involved in Scam Campaigns (trendmicro.com)

一些隨機文章