Deux nouvelles familles de logiciels malveillants Android nommées « CherryBlos » et « FakeTrade » ont été découvertes sur Google Play, visant à voler des informations d’identification et des fonds de crypto-monnaie ou à mener des escroqueries.

Les nouvelles souches de logiciels malveillants ont été découvertes par Trend Micro, qui a observé que les deux utilisaient la même infrastructure réseau et les mêmes certificats, indiquant que les mêmes acteurs de la menace les avaient créés.

Les applications malveillantes utilisent divers canaux de distribution, notamment les médias sociaux, les sites de phishing et les applications d’achat trompeuses sur Google Play, la boutique d’applications officielle d’Android.

Logiciel malveillant CherryBlos
Le malware CherryBlos a été distribué pour la première fois en avril 2023, sous la forme d’un fichier APK (package Android) promu sur Telegram, Twitter et YouTube, sous le couvert d’outils d’intelligence artificielle ou de mineurs de pièces.

Vidéo YouTube faisant la promotion d’une application opérateur CherryBlos

Les noms utilisés pour les APK malveillants sont GPTalk, Happy Miner, Robot999 et SynthNet, téléchargés à partir des sites Web suivants avec des noms de domaine correspondants :

  • chatgptc[.]io
  • happyminer[.]com
  • robot999[.]net
  • synthnet[.]ai

Une application Synthnet malveillante a également été téléchargée sur le Google Play Store, où elle a été téléchargée environ un millier de fois avant d’être signalée et supprimée.

CherryBlos est un voleur de crypto-monnaie qui abuse des autorisations du service d’accessibilité pour récupérer deux fichiers de configuration sur le serveur C2, approuver automatiquement des autorisations supplémentaires et empêcher l’utilisateur de tuer l’application trojanisée.

CherryBlos utilise une gamme de tactiques pour voler les informations d’identification et les actifs de crypto-monnaie, la principale tactique étant de charger de fausses interfaces utilisateur qui imitent les applications officielles pour hameçonner les informations d’identification.

Cependant, une fonctionnalité plus intéressante peut être activée, qui utilise l’OCR (reconnaissance optique de caractères) pour extraire le texte des images et des photos stockées sur l’appareil.

Code malveillant pour effectuer l’OCR sur les images

Par exemple, lors de la configuration de nouveaux portefeuilles de crypto-monnaie, les utilisateurs reçoivent une phrase/un mot de passe de récupération composé de 12 mots ou plus qui peuvent être utilisés pour récupérer le portefeuille sur l’ordinateur.

Après avoir affiché ces mots, les utilisateurs sont invités à les écrire et à les stocker dans un endroit sûr, car toute personne possédant cette phrase peut l’utiliser pour ajouter votre portefeuille crypto à un appareil et accéder aux fonds qu’il contient.

Bien qu’il ne soit pas recommandé de prendre des photos de votre phrase de récupération, les gens le font toujours, en sauvegardant les photos sur des ordinateurs et leurs appareils mobiles.

Cependant, si cette fonctionnalité de malware est activée, elle pourrait potentiellement ROC l’image et extraire la phrase de récupération, leur permettant de voler le portefeuille.

Les données collectées sont ensuite renvoyées aux serveurs des acteurs de la menace à intervalles réguliers, comme indiqué ci-dessous.

mnemonic
CherryBlos envoie le mnémonique de la victime au C2

Le logiciel malveillant agit également comme un pirate de presse-papiers pour l’application Binance en changeant automatiquement l’adresse d’un destinataire crypto avec une autre sous le contrôle de l’attaquant, tandis que l’adresse d’origine apparaît inchangée pour l’utilisateur.

Ce comportement permet aux acteurs de la menace de rediriger les paiements envoyés aux utilisateurs vers leurs propres portefeuilles, volant ainsi les fonds transférés.

Campagne FakeTrade
Les analystes de Trend Micro ont trouvé des connexions à une campagne sur Google Play, où 31 applications frauduleuses appelées collectivement « FakeTrade » utilisaient les mêmes infrastructures réseau et certificats C2 que les applications CherryBlos.

Ces applications utilisent des thèmes d’achat ou des leurres lucratives qui incitent les utilisateurs à regarder des publicités, à accepter des abonnements premium ou à recharger leurs portefeuilles intégrés et à ne jamais leur permettre d’encaisser les récompenses virtuelles.

Les applications utilisent une interface similaire et ciblent généralement les utilisateurs en Malaisie, au Vietnam, en Indonésie, aux Philippines, en Ouganda et au Mexique, tandis que la plupart d’entre elles ont été téléchargées sur Google Play entre 2021 et 2022.

Une des applications FakeTrade téléchargée 10 000 fois

Google a déclaré à Breachtrace que les applications malveillantes signalées avaient été supprimées de Google Play.

« Nous prenons au sérieux les revendications de sécurité et de confidentialité contre les applications, et si nous constatons qu’une application a enfreint nos politiques, nous prenons les mesures appropriées », a déclaré Google à Breachtrace .

Cependant, comme des milliers d’utilisateurs les ont déjà téléchargés, des nettoyages manuels peuvent être nécessaires sur les appareils infectés.

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *