Újabb kiberfenyegetés jelent meg, amely több mint 280 rosszindulatú alkalmazást tartalmaz, amelyek az Android operációs rendszeren működnek. Ezek az alkalmazások az optikai karakterfelismerés (OCR) technológiáját használják, hogy ellopják a kriptovaluta tárcák belépési adatait az infekált eszközökről.
Alkalmazások, amelyek megtévesztik a felhasználókat
Az érintett alkalmazások hivatalos banki, kormányzati szolgáltatások, TV streaming szolgáltatások és közművek alkalmazásának álcázásával próbálják magukat eladni. A kutatók megállapították, hogy ezek az alkalmazások az infekált telefonok üzeneteit, kontaktjait és tárolt képeit keresik, majd ezeket titokban küldik el a távoli szerverekre, amelyeket az alkalmazás fejlesztői irányítanak.
Fejlett technológia a háttérben
A legmegdöbbentőbb aspektusa a nemrég felfedezett rosszindulatú program kampánynak, hogy a fenyegetés mögött álló szereplők az optikai karakterfelismerő szoftvert használják annak érdekében, hogy kivonják a kriptovaluta tárcák belépési adatait, amelyek képekben jelennek meg az infekált eszközökön. A legtöbb tárca lehetővé teszi a felhasználók számára, hogy a tárcájuk védelmét véletlenszerű szavak sorozatával biztosítsák, amelyek könnyebben megjegyezhetők, mint a privát kulcsok karakterei.
Ryu SangRyol felfedezése
SangRyol Ryu, a McAfee biztonsági cég kutatója, akkor tette felfedezését, amikor jogosulatlan hozzáférést szerzett a rosszindulatú alkalmazások által ellopott adatokra, amelyeket a szerverek fogadtak. A hozzáférés gyenge biztonsági konfigurációknak volt köszönhető. Ryu a szerveradminisztrátorok számára elérhető oldalakat tudott megtekinteni.
Az optikai karakterfelismerés szerepe
Az optikai karakterfelismerés folyamata a géppel kódolt szöveggé alakítja a gép által olvasott, kézzel írt vagy nyomtatott szöveget. Ryu megjegyezte, hogy a támadók elsődleges célja a kriptovaluta tárcák visszaállításához szükséges mnemonikus kifejezések megszerzése volt, amely arra utal, hogy a támadók a kriptovaluta eszközök megszerzésére összpontosítanak.
Folyamatos fejlődés és új kihívások
A rosszindulatú program folyamatosan fejlődik. Korábban HTTP-n keresztül kommunikált a vezérlő szerverekkel, mostantól viszont WebSocketeken keresztül kapcsolódik, ami nehezebbé teszi a biztonsági szoftverek számára a dekódolást. A fejlesztők emellett frissítették az alkalmazásokat, hogy jobban elrejtsék rosszindulatú funkcióikat, például azáltal, hogy a kódba irreleváns elemeket ágyaztak be.
Érdekes tény: Az optikai karakterfelismerés (OCR) technológia már évtizedek óta létezik, és az utóbbi években egyre gyakoribbá vált az adatok képi formából történő digitális szöveggé alakításában.
Források: McAfee, Security Research Reports