Trend Micro heeft nieuwe Android-malware ontdekt die inloggegevens van getroffenen steelt. De virus zit volgens het cyberbeveiligingsbedrijf verborgen in gemanipuleerde Android-apps en maakt gebruik van ocr, een techniek waarmee de app tekst van afbeeldingen kan aflezen. Hierdoor was het mogelijk dat, indien gebruikers vooraf toestemming gaven, de app de galerij kon openen en de foto's op het apparaat kon doorzoeken. De uitgelezen tekst werd vervolgens naar de server van de hackers gestuurd. Het doel was voornamelijk het stelen van inloggegevens voor cryptowallets, stelt Trend Micro.
Het zou gaan om de 'CherryBlos'-malware die in vier apps buiten de Google Play Store gevonden werd: GPTalk, Happy Miner, Robot999 en SynthNet. Al deze apps richten zich op cryptovaluta. Ook zijn er meer dan dertig Google Play Store-apps gevonden met dezelfde 'aanvalsstructuur' als deze vier apps. Hoewel het niet zeker is dat ze daadwerkelijk besmet zijn met de malware heeft Trend Micro de apps alsnog voor de zekerheid gerapporteerd, waarna Google ze uit de appwinkels heeft verwijderd. De vier eerder genoemde apps zijn mogelijk wel nog als apk-bestand beschikbaar; een zo'n malafide app werd bijvoorbeeld al op TikTok en YouTube gepromoot. Tot dusver heeft nog niemand financiële schade gemeld als gevolg van deze malware.
De malafide SynthNet-app werd gepromoot op YouTube
Bron: Trend Micro
