Das erste ist CherryBlos und wird durch Werbung in sozialen Medien verbreitet, wobei Benutzer auf Phishing-Websites weitergeleitet werden, die sie zum Herunterladen schädlicher Apps verleiten. Es ist in der Lage, Krypto-Anmeldeinformationen zu stehlen und die Adresse zu ändern, die während des Auszahlungsvorgangs verwendet wird.
Die Malware verwendet einen kommerziellen Packer mit erweiterten Schutzfunktionen namens Jiagubao, um nicht entdeckt zu werden. Es fordert Benutzer dazu auf, Zugriffsberechtigungen zu erteilen, und wendet Anti-Kill-Techniken an, beispielsweise das Ignorieren der Batterieoptimierung. Außerdem wird der Benutzer zurück zum Startbildschirm geleitet, wenn er die Einstellungen der App eingibt, vermutlich um eine Deinstallation zu vermeiden.
Etikett | Phishing-Domain |
---|---|
GPTalk | chatgptc[.]io |
Glücklicher Bergmann | Happyminer[.]com |
Roboter 999 | robot999[.]Netz |
SynthNet | Synthnet[.]ai |
Der Angriffsmodus besteht darin, dass eine gefälschte Benutzeroberfläche angezeigt wird, wenn ein Benutzer eine offizielle App startet, um Anmeldeinformationen zu stehlen. Der abgehobene Betrag wird an die vom Angreifer kontrollierte Adresse gesendet. Die Malware verwendet OCR, um potenzielle mnemonische Phrasen zu identifizieren. Bei Google Play wurde eine App namens Synthnet gefunden, die vom selben Entwickler stammte, aber nicht über die Malware verfügte.
Die anderen Apps sind Teil der FakeTrade-Kampagne und locken Opfer dazu, vermeintliche geldverdienende Apps herunterzuladen, die angeblich durch Weiterempfehlungen und Aufladungen das Einkommen steigern, die Nutzer jedoch daran hindern, ihr Geld abzuheben, wenn sie dies versuchen.
Opfer können nach der Aufladung ihres Kontos kein Geld mehr abheben
Es wurde festgestellt, dass CherryBlos eine Verbindung zu diesen Apps hat und sie in verschiedenen Google Play-Regionen wie Indonesien, Malaysia, Mexiko, den Philippinen, Uganda und Vietnam verfügbar waren, jetzt aber gelöscht wurden. Hier sind ihre Namen:
- AMA
- BBShop
- Schlucht
- Domo
- Gesandte
- Gerecht
- FIRETOSS
- Geh einkaufen
- GoDo
- Goshop
- Riesig
- Koofire
- Leefire
- Moshop
- NtBuy
- Ein Feuer
- Papaya
- Saya
- Smartz
- Upwork
- WebFx
- Youtech
Wenn Sie den Fehler gemacht haben, eine dieser Apps auf Ihr Telefon herunterzuladen, löschen Sie sie sofort. Laden Sie Apps in Zukunft nur noch von vertrauenswürdigen Orten und Quellen herunter und schauen Sie sich auch die Bewertungen an, um sicherzustellen, dass es keine Warnsignale gibt.