Изследователи са открили над 280 зловредни приложения за Android, които използват оптично разпознаване на символи, за да крадат данни за портфейл за криптовалута от заразени устройства.
Приложенията се маскират като официални от банки, правителствени служби, услуги за телевизионни стрийминг и комунални услуги. Всъщност те претърсват заразените телефони за текстови съобщения, контакти и всички съхранени изображения и тайно ги изпращат на отдалечени сървъри, контролирани от разработчиците на приложенията. Приложенията са достъпни от злонамерени сайтове и се разпространяват във фишинг съобщения, изпратени до набелязаните потребители. Няма данни някое от приложенията да е било достъпно чрез Google Play.
Най-забележителното в новооткритата кампания за зловреден софтуер е, че заплахите, които стоят зад нея, използват софтуер за оптично разпознаване на символи в опит да извлекат идентификационните данни за портфейл с криптовалута, които се показват в изображения, съхранявани на заразените устройства. Много портфейли позволяват на потребителите да защитят своите портфейли с поредица от произволни думи. Мнемоничните идентификационни данни са по-лесни за запомняне от повечето хора, отколкото бъркотията от символи, която се появява в частния ключ. Думите също така са по-лесни за разпознаване от хората в изображенията.
СангРьол Рю, изследовател във фирмата за сигурност McAfee, прави откритието, след като получава неоторизиран достъп до сървърите, които получават данните, откраднати от злонамерените приложения. Този достъп е резултат от слаби конфигурации за сигурност, направени при внедряването на сървърите. Благодарение на това експертът е успял да прочете страници, достъпни за администраторите на сървъри.
Една страница, показана на изображението по-долу, представлява особен интерес. Тя показваше списък с думи в горната част и съответното изображение, взето от заразен телефон. Думите, представени визуално на изображението, съответстват на същите думи.
„След като разгледахме страницата, стана ясно, че основната цел на нападателите е била да получат мнемоничните фрази за възстановяване на криптовалутни портфейли“, пише Рю. „Това подсказва, че основният акцент е поставен върху получаването на достъп и евентуалното изчерпване на криптоактивите на жертвите.“
Оптичното разпознаване на символи е процес на преобразуване на изображения на набран, написан на ръка или отпечатан текст в машинно кодиран текст. OCR съществува от години и става все по-разпространен за трансформиране на символите, заснети в изображения, в знаци, които могат да се четат и манипулират от софтуер.
Хората, които се опасяват, че може да са инсталирали някое от злонамерените приложения, трябва да проверят публикацията на McAfee за списък на свързаните уебсайтове и криптографски хешове.
С течение на времето зловредният софтуер е получил множество актуализации. Докато преди е използвал HTTP за комуникация със сървърите за управление, сега се свързва чрез WebSockets - механизъм, който е по-труден за анализиране от софтуера за сигурност. Допълнителното предимство на WebSocket е, че е по-универсален канал.
Разработчиците също така са актуализирали приложенията, за да прикрият по-добре зловредната им функционалност. Методите за замаскиране включват кодиране на низовете в кода, така че да не се четат лесно от хора, добавяне на несъществен код и преименуване на функции и променливи - всички те объркват анализаторите и затрудняват откриването им. Макар че зловредният софтуер е ограничен предимно до Южна Корея, наскоро той започна да се разпространява на територията на Обединеното кралство.
Снимка: Unsplash/McAfee
Виж още: Lenovo показа концептуален лаптоп с екран, който се върти, за да ви следва