قالت شركة أمن المعلومات (تريند مايكرو) Trend Micro إنها اكتشفت عائلتين جديدتين من البرامج الضارة في نظام التشغيل أندرويد، وهما: CherryBlos، و FakeTrade ضمن متجر جوجل بلاي، وهما تعملان على سرقة بيانات الاعتماد للعملات المشفر، أو الأموال، أو إجراء عمليات احتيال.
وقالت الشركة في بيان إنها لاحظت أن كلا العائلتين تستخدمان البنية التحتية نفسها للشبكة والشهادات، مما يشير إلى أنهما تتبعان جهة التهديد الفاعلة ذاتها.
وتستخدم التطبيقات الضارة قنوات توزيع متنوعة، ومن ذلك: وسائل التواصل الاجتماعي، ومواقع التصيد الاحتيالي، وتطبيقات التسوق الخادعة في (جوجل بلاي)؛ المتجر الرسمي لنظام التشغيل أندرويد.
يُذكر أن أول مرة شوهد فيه توزيع برامج CherryBlos الضارة كان في شهر نيسان/ أبريل الماضي، وذلك في شكل ملف APK رُوِّج له في تيليجرام، وتويتر، ويوتيوب، وذلك تحت ستار أدوات الذكاء الاصطناعي أو تعدين العملات المشفرة.
واستُخدم للترويج لبرامج CherryBlos أسماء لملفات APK من قبيل: GPTalk، و Happy Miner، و Robot999، و SynthNet، وتُنزَّل من مواقع ويب تحمل أسماء نطاقات مطابقة: chatgptc[.]io، وHappyminer[.]com، و robot999[.]net، وsynthnet[.]ai.
يُشار إلى أن CherryBlos هي برمجيات ضارة تسرق العملات المشفرة وتسيء استخدام أذونات خدمة إمكانية الوصول لجلب ملفي تكوين من خادم C2، والموافقة تلقائيًا على أذونات إضافية، ومنع المستخدم من حذف تطبيق التخفي الضار.
وتستخدم CherryBlos مجموعة من التكتيكات لسرقة بيانات اعتماد العملات المشفرة وأصولها، حيث يتمثل التكتيك الرئيسي في تحميل واجهات مستخدم مزيفة تحاكي التطبيقات الرسمية للتصيد الاحتيالي للحصول على بيانات الاعتماد.
ومع ذلك، يمكن تفعيل ميزة أكثر إثارة للاهتمام تستخدم تقنية التعرف الضوئي للحروف OCR لاستخراج النص من الصور والصور المخزنة على الجهاز.
فعلى سبيل المثال، عند إعداد محافظ جديدة للعملات المشفرة، فإن المستخدمين يُعطون عبارة استرداد أو كلمة مرور تتكون من 12 كلمة أو أكثر يمكن استخدامها لاستعادة المحفظة في الحاسوب.
وبعد عرض هذه الكلمات، يُطلب من المستخدمين كتابتها وتخزينها في مكان آمن، حيث يمكن لأي شخص لديه هذه العبارة استخدامها لإضافة محفظتك المشفرة إلى جهاز والوصول إلى الأموال الموجودة بداخلها.
على الرغم من أنه لا يوصى بالتقاط صور لعبارة الاسترداد الخاصة بك، فما زال الناس يفعلون ذلك، ويحفظون الصور في أجهزة الحاسوب المكتبية وأجهزتهم المحمولة.
ومع ذلك، إذا فُعِّلت ميزة البرامج الضارة هذه، فمن المحتمل أن تتعرف الحروف الموجودة على الصورة وتستخرج عبارة الاسترداد، مما يسمح لهم بسرقة المحفظة.
ثم تُرسل البيانات التي جُمعت مرة أخرى إلى خوادم الجهات الفاعلة في التهديد على فترات منتظمة.
وتعمل البرامج الضارة أيضًا بوصفها خاطف الحافظة لتطبيق (باينانس) Binance عن طريق التبديل التلقائي لعنوان مستلم التشفير مع عنوان واحد تحت سيطرة المهاجم، في حين يظهر العنوان الأصلي للمستخدم دون تغيير.
ويسمح هذا السلوك للجهات الفاعلة في التهديد بإعادة توجيه المدفوعات المرسلة إلى المستخدمين إلى محافظهم الخاصة، مما يؤدي إلى سرقة الأموال المحولة بصورة فعالة.
ووجد محللو (تريند مايكرو) صلات بحملة على (جوجل بلاي) الخاص بنظام أندرويد، حيث كان هناك 31 تطبيق احتيال يُطلق عليها مجتمعة اسم FakeTrade، وتستخدم البنى التحتية نفسها لشبكة C2 والشهادات التي تستخدمها برامج CherryBlos.
وتستخدم هذه التطبيقات موضوعات التسوق أو إغراءات كسب المال التي تخدع المستخدمين لمشاهدة الإعلانات، أو الموافقة على الاشتراكات المتميزة، أو زيادة محافظهم داخل التطبيق وعدم السماح لهم أبدًا بصرف المكافآت الافتراضية.
وتستخدم التطبيقات واجهة مماثلة وتستهدف عمومًا المستخدمين في ماليزيا، وفيتنام، وإندونيسيا، والفلبين، وأوغندا والمكسيك، في حين حُمَّل معظمها من (جوجل بلاي) بين عامي 2021 و 2022.
هذا، وقد نقل موقع BleepingComputer عن شركة جوجل قولها إنها أزالت تطبيقات البرامج الضارة المبلغ عنها من متجر (جوجل بلاي).