Gli esperti di Trend Micro hanno individuato quattro app Android, distribuite tramite APK, che contengono il malware CherryBlos. Si tratta di un crypto-stealer che usa diverse tecniche per rubare le credenziali di login ai wallet. Una di esse sfrutta il riconoscimento ottico dei caratteri (OCR) per leggere il testo nelle immagini.
OCR per rubare la seed phrase
I cybercriminali hanno pubblicizzato su Telegram, Twitter e YouTube le app GPTalk, Happy Miner, Robot999 e SynthNet che dovrebbero offrire funzionalità di intelligenza artificiale e cryptominer. I corrispondenti file APK contengono invece il malware CherryBlos.
Come molti trojan bancari, CherryBlos sfrutta i permessi di accessibilità. Se concessi dall’utente, il malware preleva due file di configurazione dal server C2 (command and control) e attiva le protezioni che impediscono la cancellazione delle app. Per rubare le credenziali e quindi le criptovalute vengono usati vari metodi, tra cui la visualizzazione di schermate di login simili a quelle di app legittime.
La tecnica più “originale” prevede l’uso del riconoscimento ottico dei caratteri (OCR). Quando viene aperto un nuovo wallet, l’utente riceve la “seed phrase” (frase di ripristino). La sequenza di parole deve essere conservata in un luogo sicuro, ma molti utenti scattano una foto della seed phrase che rimane sullo smartphone. CherryBlos riesce a leggere la frase nell’immagine, accede al wallet e ruba tutte le criptovalute.
Il malware funziona anche come clipboard hijacker per l’app Binance. Quando l’utente usa il copia e incolla per l’indirizzo del wallet, CherryBlos sostituisce l’indirizzo dell’utente con quello gestito dai cybercriminali. Sullo schermo viene mostrata un’interfaccia fasulla con l’indirizzo originale, quindi l’ignara vittima non si accorge di nulla.