Android新惡意軟體　利用 OCR 竊取敏感資料

編譯／Cynthia

Android用戶正面臨著一場新的威脅，一款名為CherryBlos的惡意軟體正在迅速蔓延。這種惡意軟體利用了光學字元辨識（Optical Character Recognition，OCR）技術，用於收集儲存在用戶裝置上的圖片中的敏感資料，其通過社交媒體平台上的虛假文章進行傳播，特別是針對使用加密貨幣錢包的用戶。

趨勢科技研究人員指出，CherryBlos攻擊方式相當狡猾，一旦用戶安裝惡意軟體，它會竊取加密貨幣錢包相關憑證，當受害者複製特定格式的字串到剪貼簿時，CherryBlos會偷偷替換錢包位址，將交易引導至駭客的位址。更嚴重的是，它還運用OCR技術來辨識圖片中的助憶詞組（Mnemonic Phrase），而這些助憶詞組對用戶在恢復錢包時扮演著關鍵的角色。

更多新聞：趕快刪！兩款下載數百萬次Android App　用戶數據遭發送至中國

助憶詞組是在加密貨幣錢包中的一組單詞序列，其目的是作為錢包的恢復助記工具。當用戶在某種情況下失去了錢包時，如用戶更換裝置或忘記錢包密碼，可以用來恢復錢包並取回用戶資產。由於助憶詞組是錢包安全的重要組成部分，駭客竊取這些助憶詞組可能導致用戶資產的損失，因此應該妥善保管並避免與他人分享。

研究人員指出，CherryBlos的成功攻擊取決於用戶習慣將錢包助憶詞組截圖保存在裝置上，導致許多用戶可能未意識到這樣的行為會使他們成為攻擊目標，因此必須提高警覺。除了竊取個人資料外，CherryBlos還備受關注的另一點是它的防禦機制，當用戶試圖透過進入設定應用程式來終止或解除安裝此惡意軟體時，他們會被重新導回主畫面，這使得用戶更難對抗這項攻擊。

同時，還有另一個名為Synthnet的應用程式在Google Play商店上出現，與CherryBlos的威脅行動者有關，但Synthnet並未內嵌惡意軟體。不過，當Google發現此情況後，已將Synthnet下架。儘管數據顯示CherryBlos的主要目標地區是馬來西亞、越南、印尼、菲律賓、烏干達和墨西哥，但隨著惡意軟體的傳播，更多地區的用戶可能會受到威脅。因此，我們都應保持警覺，不要輕忽來自未知來源的應用程式，以確保個人裝置和資料的安全。
資料來源：The Hacker News

瀏覽 636 次