Обнаружен вредонос для Android, похищающие данные через оптическое распознавание символов

Вредонос CherryBlos, представляющий опасность для смартфонов на Android, обнаружен как минимум в четырех приложениях для данной операционной системы за пределами Google Play. Однако и в самом магазине приложений он был доступен как часть одного из продуктов как минимум месяц. О своей находке сообщили исследователи из Trend Micro.

Все подозрительные приложения были созданы теми же разработчиками. В каждом приложении создатели приложили максимум усилий, чтобы скрыть его сущность. Для шифрования кода и кодовых цепочек использована платная версия коммерческого ПО Jiagubao. Таким образом затруднен анализ, позволяющий выявить вредоносный функционал приложений.

Наиболее интересна особенность приложения, позволяющая ему перехватывать мнемонические кодовые фразы, когда они демонстрируются на экране смартфона. В момент демонстрации приложение создает скриншот, а после использует технологию оптического распознавания символов, чтобы расшифровать полученную информацию.

Многие финансовые и банковские приложения имеют настройки безопасности, предотвращающие получение скриншотов в процессе использования. Исследователи предположили, что CherryBlos обходит данные ограничения, получая специальные разрешения для пользователей с проблемами со зрением или другими ограниченными возможностями.