En Android, se encontró un virus que reconoce caracteres en capturas de pantalla para robar datos
Miscelánea / / July 29, 2023
Este es posiblemente el primer troyano que domina el OCR.
Expertos en seguridad de la información de Trend Micro descubierto Malware raro de Android. Se llama Cherry Blos. Los atacantes lo usan para robar las credenciales de los usuarios.
El virus está incrustado en decenas de aplicaciones que se distribuyen principalmente a través de sitios que anuncian esquemas fraudulentos. Algunos de ellos también estaban en Google Play, pero sin el contenido del troyano.
Estas aplicaciones ocultan cuidadosamente su funcionalidad maliciosa y usan la versión paga del software Jiagubao para encriptar su código. Además, cuentan con herramientas integradas que garantizan una actividad continua en los teléfonos infectados.
CherryBlos funciona así: cuando un usuario abre las aplicaciones oficiales de los servicios de criptomonedas, el virus lanza alertas falsas que Simulo ventanas reales en la pantalla del teléfono inteligente y, durante el retiro de fondos, cambia la dirección de la billetera elegida por la víctima a una dirección controlada por agresor.
El aspecto más interesante, según los expertos, es una característica rara, si no nueva, que permite que el virus intercepte las frases de contraseña utilizadas para acceder a la cuenta. Cuando la aplicación oficial lo muestra en el teléfono, el malware primero toma una captura de pantalla y luego utiliza el reconocimiento óptico de caracteres (OCR) para traducir una imagen a un formato de texto que se puede utilizar por hackear
La mayoría de las aplicaciones financieras utilizan una herramienta que evita que se tome una captura de pantalla durante las transacciones u otras transacciones confidenciales. Pero CherryBlos parece pasar por alto estos bloqueos también. Aparentemente, de alguna manera obtiene el permiso de acceso utilizado para personas con discapacidad visual u otras discapacidades.
En Google Play, los expertos encontraron cuatro aplicaciones principales y decenas de aplicaciones adicionales. Ninguno de ellos contenía una carga maliciosa, sin embargo, ya se han eliminado del mercado. El virus supuestamente se encuentra solo en sus versiones web. La lista completa se puede ver Aquí.
Leer también🧐
- Los 7 mejores antivirus gratuitos
- Vulnerabilidad crítica encontrada en enrutadores MikroTik. 900.000 dispositivos bajo ataque