Onderzoekers hebben meer dan 280 kwaadaardige Android-apps ontdekt die optische karakterherkenning gebruiken om inloggegevens voor cryptocurrency-portemonnees van geïnfecteerde apparaten te stelen.
Apps doen zich voor als officiële apps van banken, overheidsdiensten, tv-streamingdiensten en nutsbedrijven. In feite scannen ze geïnfecteerde telefoons op sms-berichten, contacten en eventuele opgeslagen afbeeldingen en sturen deze in het geheim naar externe servers die worden beheerd door de app-ontwikkelaars. De applicaties zijn beschikbaar via kwaadaardige sites en worden verspreid in phishing-berichten die naar doelen worden verzonden. Er zijn geen aanwijzingen dat een van de apps beschikbaar was via Google Play.
Hoog niveau van verfijning
Het meest opvallende aan de nieuw ontdekte kwaadaardige campagne is dat de dreigingsactoren die erachter zitten optische tekenherkenningssoftware gebruiken in een poging om de inloggegevens voor cryptocurrency-portemonnees te extraheren die worden weergegeven in afbeeldingen die zijn opgeslagen op geïnfecteerde apparaten. Bij veel portemonnees kunnen gebruikers hun portemonnee beschermen met een reeks willekeurige woorden. De meeste mensen onthouden geheugensteuntjes gemakkelijker dan de wirwar van tekens die in een privésleutel voorkomen. Mensen herkennen ook gemakkelijker woorden in afbeeldingen.
SangRyol Ryu, een onderzoeker bij beveiligingsbedrijf McAfee, deed de ontdekking nadat hij ongeautoriseerde toegang had verkregen tot servers die gegevens ontvingen die door kwaadaardige applicaties waren gestolen. Deze aanpak was het resultaat van zwakke beveiligingsconfiguraties die waren gemaakt bij het instellen van de server. Bovendien kon Ryu pagina’s lezen die beschikbaar waren voor serverbeheerders.
Eén pagina, hieronder afgebeeld, was van bijzonder belang. Bovenaan werd een lijst met woorden weergegeven en hieronder een bijbehorende afbeelding, afkomstig van een geïnfecteerde telefoon. De visueel weergegeven woorden op de afbeelding kwamen overeen met dezelfde woorden.
Toename / Beheerpagina met OCR-details.
McAfee
“Na het bekijken van de site werd het duidelijk dat het primaire doel van de aanvallers was om geheugensteuntjes te verkrijgen om cryptocurrency-portefeuilles te herstellen”, schreef Ryu. “Dit suggereert een zware nadruk op het betreden en mogelijk leeghalen van de crypto-activa van slachtoffers.”
Optische tekenherkenning is het proces waarbij afbeeldingen van getypte, handgeschreven of gedrukte tekst worden omgezet in machinaal gecodeerde tekst. OCR bestaat al jaren en wordt steeds gebruikelijker voor het omzetten van karakters die in afbeeldingen zijn vastgelegd in karakters die door software kunnen worden gelezen en gemanipuleerd.
Ryu vervolgde:
Deze bedreiging maakt gebruik van Python en Javascript op de server om de gestolen gegevens te verwerken. Concreet worden afbeeldingen omgezet naar tekst met behulp van optische tekenherkenningstechnieken (OCR), die vervolgens worden georganiseerd en beheerd via een administratief paneel. Dit proces duidt op een hoog niveau van verfijning in de omgang met en het gebruik van gestolen informatie.
Toename / Python-code om tekst die op afbeeldingen wordt weergegeven, om te zetten in machinaal leesbare tekst.
McAfee
Mensen die bang zijn dat ze mogelijk een van de kwaadaardige apps hebben geïnstalleerd, kunnen het McAfee-bericht raadplegen voor een lijst met gerelateerde websites en cryptografische hashes.
De malware heeft in de loop van de tijd meerdere updates ontvangen. Hoewel het vroeger HTTP gebruikte om met controleservers te communiceren, maakt het nu verbinding via WebSockets, een mechanisme dat voor beveiligingssoftware moeilijker te analyseren is. WebSockets hebben als bijkomend voordeel dat ze een veelzijdiger kanaal zijn.
Toename / Tijdlijn van applicatie-evolutie.
McAfee
Ontwikkelaars hebben de apps ook bijgewerkt om hun kwaadaardige functionaliteit beter te verbergen. Verduisteringsmethoden omvatten het coderen van tekenreeksen in code, zodat ze niet gemakkelijk door mensen kunnen worden gelezen, het toevoegen van irrelevante code en het hernoemen van functies en variabelen, wat analisten in verwarring brengt en detectie bemoeilijkt. Hoewel de malware zich grotendeels beperkt tot Zuid-Korea, heeft deze zich onlangs ook in Groot-Brittannië verspreid.
“Deze ontwikkeling is significant omdat het laat zien dat dreigingsactoren hun focus zowel demografisch als geografisch uitbreiden”, schreef Ryu. “De verhuizing naar Groot-Brittannië duidt op een doelbewuste poging van de aanvallers om hun activiteiten uit te breiden, waarbij ze zich mogelijk richten op nieuwe groepen gebruikers met gelokaliseerde versies van de malware.”
