Analisi di CherryBlos, un nuovo malware per Android

Un malware capace di rubare portafogli di criptovalute attraverso le fotografie fa capolino sulla scena.

La scena Android è divenuta particolarmente interessante per i cybercriminali.
Questo perché il mercato mobile si è evoluto rapidamente negli ultimi dieci anni, raggiungendo cifre impressionanti sia per la vendita di prodotti mobile, che di software relativo.
Questo perché Android si è sempre caratterizzato per la sua natura open source e dalle licenze quasi inesistenti, se confrontato con il suo diretto concorrente iOS. Ciò ha spalancato le porte a criminali e malintenzionati, a causa dell’eccessiva frammentazione del sistema operativo e del controllo quasi inesistente di Google.

In breve, i malware per Android hanno visto un’ampia diffusione sul mercato, alcuni dei quali finiscono per mascherarsi da applicazioni innocue e scatenare attacchi di tipo RDP una volta installati dal malcapitato. Tuttavia, una tattica ancora più subdola è emersa nel 2023, quando il nome CherryBlos è emerso in alcuni report di sicurezza.

Ma come sempre andiamo con ordine e analizziamo l’argomento per gradi.

Le origini di CherryBlos

Scoperto per la prima volta ad agosto 2023, CherryBlos è un malware per Android che sfrutta la tecnologia OCR (Optical Character Recognition) per rubare dati sensibili. Classificato sia come stealer, che come clipper, il suo target principale sono i portafogli di criptovalute degli utenti.

Il malware ha visto la sua diffusione scatenarsi attraverso una moltitudine di canali differenti, tra cui si citano:

siti ed e-mail di phishing
siti scam con link di phishing
camuffamento da applicazioni legittime presenti sul Play Store

Una volta installato sul dispositivo, CherryBlos inizia la sua ricerca delle credenziali dei portafogli di criptovalute presenti sullo stesso.
Ciò avviene mediante un parser presente nel suo codice, che cerca un match con frasi mnemoniche tipiche e chiavi private.
Una volta che queste vengono scoperte, CherryBlos da inizio al suo exploit, con la classica metodologia dell’accesso non autorizzato alle criptovalute della vittima e reindirizzando le transazioni verso gli indirizzi dei suoi creatori.

Ma ad aggravare una già non rosea situazione, ci pensa un’altra caratteristica intrinseca al codice: il modulo OCR.
Con questo CherryBlos è in grado di estrarre il testo di immagini e foto presenti sul dispositivo della vittima.
Ciò costituisce non solo una minaccia significativa, ma anche un precedente molto pericoloso, in quanto è la prova che i cybercriminali stanno adottando delle tecniche mirate per analizzare perfino gli screenshot che vengono salvati dagli utenti come promemoria di status dei propri portafogli online.

Secondo un report pubblicato a settembre 2023 da Trend Micro, CherryBlos ha un gemello in circolazione sul Play Store, che risponde al nome di FakeTrade. Il documento mette in luce che i due malware condividono:

la stessa infrastruttura
gli stessi certificati
gli stessi obiettivi malevoli
le stesse tattiche di attacco.

Tale analisi dimostra che i due malware sono stati creati dallo stesso collettivo, ma diffusi mediante campagne di phishing separate con lo scopo di infettare quanti più dispositivi possibile.

Come funziona CherryBlos?

In generale qualsiasi malware creato per Android si affida ai Servizi di Accessibilità del sistema operativo.
Tali servizi sono importanti in quanto progettati per permettere agli utenti di interagire direttamente con i dispositivi in caso di assistenza improvvisa, o di emergenza.

Questi permettono infatti di:

leggere il contenuto dello schermo per gli utenti ipovedenti;
simulare tocchi sullo schermo e tastiera per testare il touchscreen;
verificare l’affidabilità e la velocità della rete a cui si è connessi;
comunicare direttamente con i server degli autori del software.

Per questi motivi CherryBlos ha tutto l’interesse a utilizzarli a proprio vantaggio.
La sua tattica principale è camuffarsi da applicazione innocua e attendere di essere scaricato dall’incauto utente.
Tuttavia, la sua diffusione non avviene sul Play Store, ma attraverso siti scam che offrono il download diretto dell’APK.

Tra quelle identificate si riportano:

YouTube
Telegram
Twitter
GPTalk
Happy Miner
Robot999
SynthNet

C’è da dire che tra queste SynthNet è stata l’unica in grado di trovare una via di infiltrazione anche sul Play Store e a toccare quota un migliaio di download, prima che Google intervenisse direttamente.

Una volta che CherryBlos viene scaricato ed eseguito sul dispositivo vittima, mostra all’utente una finestra di sistema in cui richiede l’autorizzazione all’uso dei Servizi di Accessibilità di Android. Per rendere ancora più veritiera e legittima la cosa, il malware può mostrare anche un finto sito web in cui motiva la sua richiesta. Una volta che l’utente lo autorizza, allora il malware prende possesso del dispositivo.

Proprio come molti malware già analizzati in precedenza, anche questo fa uso di tecniche anti-rilevamento e di persistenza.
Infatti, si appoggia a molti strumenti operativi in background, come i processi di ottimizzazione per la batteria o di pulizia della cache, in modo da ottenere privilegi esecutivi di massimo livello.

In questo modo CherryBlos scarica nella sua cache l’intera lista delle applicazioni relative alle criptovalute installate sul dispositivo.
Una volta creata, questa viene inviata direttamente ai server dei suoi creatori, mediante il protocollo C&C (Command & Control), ricevendo le finte interfacce create dai cybercriminali.

Quando l’utente avvierà una di queste applicazioni, il malware gli presenterà l’interfaccia di phishing, in modo che le sue credenziali vengano memorizzate e dirottate verso il server esterno.
Se tale tecnica dovesse fallire, CherryBlos allora ripiega sul modulo OCR, che gli permette di ricavare le credenziali dalle immagini presenti sulla memoria del dispositivo infettato.

Il suo obiettivo sono gli screeshot che mostrano credenziali di accesso e altri dati sensibili, che vengono automaticamente convertite in testo e inviate al suo server di riferimento.

Come se non bastasse, CherryBlos possiede anche capacità di clipper, che gli permettono di rimpiazzare gli indirizzi dei portafogli di criptovalute con quelli dei cybercriminali. In tal modo sia le transazioni di prelievo, che di deposito, vengono dirottate dall’utente ai malintenzionati. Tutto lasciando l’utente completamente all’oscuro della cosa, in quanto continuamente ingannato dalle finte interfacce grafiche su schermo.
Le principali criptovalute obiettivo di CherryBlos sono:

Tether
USD Coin
Ethereum
Binance coin
Bitcoin
TRON

Come proteggersi da un’infezione di CherryBlos?

Alla luce di quanto discusso nei paragrafi precedenti, sono di seguito riportati alcuni consigli per proteggersi da applicazioni malevoli e possibili furti di credenziali.

Non affidarsi ad applicazioni di pulizia automatizzata esterni
I moderni smartphone e dispositivi Android escono di fabbrica con già installata una soluzione per la pulizia di file temporanei, cookies e junk di applicazioni. Questi solitamente permettono anche un’eliminazione definitiva di determinati file selezionati direttamente dall’utente.
Evitare soluzioni di antivirus gratuiti
Come al solito le soluzioni gratuite lasciano il tempo che trovano, in quanto incapaci di garantire una protezione costante ed efficace.
A maggior ragione se si pensa che, a partire da Android 11, ogni produttore di smartphone e tablet integra al suo interno un centro di sicurezza ad hoc con un antivirus che viene costantemente aggiornato e monitorato.
La soluzione ideale è comunque quella di dotarsi di un antivirus di tipo premium con abbonamento annuale e che integri al suo interno moduli anti-phishing, monitoraggio rete e controllo approfondito delle applicazioni.
Mai installare files APK acquisiti da fonti dubbie
Si tratta di elementi non controllati direttamente dalla casa madre di Android, ma di pacchetti contenenti al loro interno del codice non firmato e quindi potenzialmente dannoso per il proprio dispositivo. Ad esempio, sono da evitare in toto i marketplace esterni come Aptoide, Uptodown o ApkPure, che più di una volta si sono dimostrati autentiche fucine di malware.
Restare costantemente aggiornati
Le liste di applicazioni segnalate come malevoli e pericolose vengono aggiornate su base giornaliera direttamente dai principali produttori di antivirus ed esperti del settore.
Affidarsi sempre alla reputazione del produttore
Controllare recensioni e media di punteggio che ciascuna sua applicazione riceve sia sul Play Store, che sui siti specializzati, è un ottimo metodo per evitare di scaricare qualcosa di indesiderato sul proprio dispositivo.
Effettuare una pulizia regolare
Almeno una volta a settimana è buona prassi disinstallare le applicazioni non utilizzate e svuotare la cache dei propri browser.

Conclusione

L’era digitale ha scoperchiato il Vaso di Pandora sia in positivo, che in negativo.
A scapito di connessioni sempre più veloci e accesso a servizi impensabili fino a vent’anni fa, c’è lo scotto di un mondo pieno di predatori in cerca del bene più prezioso: i nostri dati sensibili.
Come si è sempre detto, la miglior protezione che si può ottenere parte in primis da noi utenti. Se impariamo a tenere sotto controllo i nostri dispositivi e a non essere impulsivi, o manipolati dai tanti e sedicenti esperti del settore che spopolano sulle principali piattaforme social, forse avremo una possibilità di ritenerci al sicuro.

La morale di tutto ciò è la solita: non abbassare mai la guardia, perché siamo noi nel nostro piccolo a fare la differenza.

Autore articolo
Gli ultimi articoli

Aldo Vernaglione

Classe 1993, laureato in Informatica e Comunicazione Digitale e grafico ACP. Ha mosso i primi passi nel mondo dell’informatica grazie ai videogiochi, divenendo in seguito appassionato di motori grafici. Scrive per passione da quando aveva sei anni e non immaginava di certo che un giorno sarebbe diventata una sua professione.

Cookie	Durata	Descrizione
cookielawinfo-checkbox-analytics	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Analytics".
cookielawinfo-checkbox-functional	11 months	The cookie is set by GDPR cookie consent to record the user consent for the cookies in the category "Functional".
cookielawinfo-checkbox-necessary	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookies is used to store the user consent for the cookies in the category "Necessary".
cookielawinfo-checkbox-others	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Other.
cookielawinfo-checkbox-performance	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Performance".
viewed_cookie_policy	11 months	The cookie is set by the GDPR Cookie Consent plugin and is used to store whether or not user has consented to the use of cookies. It does not store any personal data.