Nos últimos anos, não é segredo que os agentes de ameaças intensificaram seus esforços para obter acesso não autorizado e roubar seu dinheiro suado. Como parte desses esforços, os hackers desenvolveram dois novos malwares ladrões de criptomoedas chamados ‘CherryBlos’ e ‘FakeTrade’, que usam o reconhecimento óptico de caracteres (OCR) para escanear as fotos das vítimas em busca de informações confidenciais, como senhas.
Descoberto pela Trend Micro e em distribuição desde abril de 2023, o malware CherryBlos se espalha por várias redes de mídia social, enganando usuários desavisados, disfarçando-se de inocentes ferramentas de IA ou mineradores de moedas. Uma vez instalado, o malware solicita permissão para acessar funcionalidades cruciais e, em seguida, concede a si mesmo privilégios adicionais, tornando difícil para o usuário interromper suas atividades prejudiciais.
Embora o malware use principalmente táticas comuns, como carregar interfaces de usuário falsas que imitam aplicativos oficiais para phishing de credenciais de login, ele também utiliza OCR para extrair dados valiosos de imagens e fotos armazenadas no dispositivo infectado. Isso ocorre porque muitas carteiras de criptomoedas têm uma senha de recuperação caso o usuário esqueça a senha principal. No entanto, os usuários costumam fazer capturas de tela da senha de recuperação, e o OCR permite que o malware procure essas capturas de tela e as carregue em um servidor remoto, colocando os dados confidenciais da vítima em risco significativo.
Além do malware CherryBlos, os mesmos agentes de ameaças também estavam por trás da ampla campanha FakeTrade, que envolveu 31 aplicativos fraudulentos para ganhar dinheiro na Play Store, visando usuários na Malásia, Vietnã, Indonésia, Filipinas, Uganda e México.
Fugindo das diretrizes da Play Store
Embora os agentes de ameaças que espalham malware por vários canais não sejam novos, o fato de um desses APKs maliciosos, ou seja, o Synthnet, ter entrado no Google Play, disfarçado de aplicativo legítimo, levanta sérias preocupações. Felizmente, o Google interveio rapidamente e removeu o aplicativo antes que pudesse causar algum dano significativo, mas o aplicativo acumulou mais de mil downloads.
Em resposta a ameaças como essas, o Google exigirá que todas as novas contas de desenvolvedor registradas como organizações, a partir de 31 de agosto de 2023, forneçam um número DUNS válido atribuído pela Dun & Bradstreet antes de enviar aplicativos. Essa mudança não apenas impedirá o uso indevido da plataforma para distribuição de malware, mas também melhorará a segurança geral.