Informacijos saugumo ekspertai iš “Trend Micro” bendrovės aptiko retą “Android” kenkėjišką programą. Ji vadinasi “Cherry Bloss” (liet. vyšnių žiedas). Užpuolikai ją naudoja naudotojų prisijungimo duomenims vogti. Virusas įterptas į dešimtis programėlių, kurios platinamos daugiausia per sukčiavimo schemas reklamuojančias svetaines.
Šios programėlės kruopščiai slepia savo kenkėjišką funkcionalumą, o kodui šifruoti naudoja mokamą “Jiagubao” versiją. Be to, jose yra integruotų įrankių, užtikrinančių nuolatinę veiklą užkrėstuose telefonuose.
Kaip veikia “Cherry Bloss” kenkėjiškas virusas?
CherryBlos veikia taip: kai naudotojas atidaro oficialias kriptovaliutų paslaugų programėles, virusas išmaniojo telefono ekrane paleidžia netikrus įspėjimus, imituojančius tikrus langus, o atsiimant lėšas aukos pasirinktą piniginės adresą pakeičia į užpuoliko kontroliuojamą adresą.
Ekspertai teigia, kad įdomiausias aspektas yra reta, nors ir ne nauja, funkcija, leidžianti virusui perimti slaptažodžių frazes, naudojamas norint gauti prieigą prie paskyros. Kai oficiali programėlė ją parodo telefone, kenkėjiška programa pirmiausia padaro ekrano nuotrauką, o tada, naudodama optinį ženklų atpažinimą (OCR), vaizdą išverčia į teksto formatą, kurį galima panaudoti įsilaužimui.
Daugumoje finansinių programų naudojama priemonė, kuri neleidžia daryti ekrano nuotraukų atliekant operacijas ar kitas neskelbtinas operacijas. Tačiau atrodo, kad “CherryBlos” apeina ir šiuos blokavimus. Matyt, ji kažkokiu būdu gauna prieigos leidimus, kurie naudojami žmonėms su regos sutrikimais ar kita negalia.
