利用光學字元辨識 (OCR) 蒐集登入憑證、謊稱賺很大的Android惡意程式CherryBlos 與 FakeTrade 攜手向「錢」看

CherryBlos 與 FakeTrade：兩個相關的Android 詐騙惡意程式

第一起詐騙透過熱門社群網路平台來推銷一些假的服務，利用廣告將使用者帶到網路釣魚網站，誘騙使用者下載及安裝 Android 惡意應用程式，也就是 CherryBlos (AndroidOS_CherryBlos.GCL)，其名稱來自於它的攻擊框架使用的特殊字串，該程式會竊取虛擬加密貨幣錢包相關的登入憑證，並在受害者提款時暗中調換錢包的位址。

另一起攻擊行動則使用了多款謊稱能讓使用者賺錢的 Android 應用程式 (最早在 2021 年出現在 Google Play)，裡面含有 FakeTrade 惡意程式 (AndroidOS_FakeTrade.HRXB)。這些應用程式會謊稱自己是一個電子商務平台，使用者可透過推薦好友和儲值來增加收入。但使用者卻無法將裡面的錢提領出來。

假的社群媒體貼文散播 CherryBlos

CherryBlos 家族的第一個惡意程式是「Robot 999」，最早在 2023 年 4 月現身，下載網址為：hxxps://www.robot999.net/Robot999[.]apk。經過深入研究之後，我們追蹤到它的來源是一個名為「Ukraine ROBOT」的 Telegram 群組，該群組從 2023 年初開始便一直在散播虛擬加密貨幣挖礦相關的訊息。該群組的詳細資料上即提供了會下載惡意程式的網路釣魚網站網址。

2023 年 4 月，該群組的版主張貼了一個指向 Robot 999 應用程式 (裡面含有 CherryBlos 惡意程式) 的連結，並且將 APK 檔案上傳到該群組。

後續出現的 CherryBlos 樣本也都使用類似手法，截至本文撰寫為止，我們已經發現了四款暗藏 CherryBlos 惡意程式的應用程式。

應用程式名稱	套件名稱	網路釣魚網域
GPTalk	com.gptalk.wallet	chatgptc[.]io
Happy Miner	com.app.happyminer	happyminer[.]com
Robot 999	com.example.walljsdemo	robot999[.]net
SynthNet	com.miner.synthnet	synthnet[.]ai

表 1：暗藏 CherryBlos 的應用程式。

舉 GPTalk 應用程式為例，它使用了一個假的 TikTok 帳號來張貼其網路釣魚網址。

至於 SynthNet 應用程式的網路釣魚網站則是指向一個 Twitter 帳號和一個 Telegram 頻道。

圖 4：網路釣魚網站 synthnet[.]ai 指向一個 Twitter 帳號。

除了這些詐騙貼文之外，我們也發現一些疑似由不知情的「推廣者」所製作的內容，如圖 5 中的 YouTube 影片。

CherryBlos 惡意程式分析

如前面所說，CherryBlos 惡意程式專門竊取虛擬加密貨幣錢包相關的登入憑證，並且在提款的過程中偷偷將錢包位址調包。

軟體封裝與加密編碼

為了躲避偵測，CherryBlos 使用了一個名叫「Jiagubao」(360加固保) 的市售封裝程式。我們的分析發現此惡意程式有兩個特點：

封裝程式的原生函式庫並非使用原本的名稱「libjiagu.so」，有可能是駭客自己將它命名為「libjiagu_sdk_cherryBlos_gProtected.so」。
惡意程式很罕見地使用了 Jiagubao 內建的字串加密演算法，CherryBlos 大部分的字串都使用了封裝程式的原生函式庫來加密。我們相信這應該是封裝程式的內建功能，而非惡意程式開發者所為。

從這些特點看來 CherryBlos 駭客集團使用的應該不是免費版的封裝程式，因為它用到了一些進階保護功能、更強的躲避能力與其他強大功能。

假冒技巧與幕後操縱 (C&C) 通訊

如同絕大多數銀行木馬程式一樣，CherryBlos 需要無障礙服務的權限才能運作。當使用者開啟應用程式時，畫面上會彈出一個視窗要求使用者提供無障礙服務的權限。此外還會利用 WebView 來顯示官方網站以免受害者起疑。
在取得無障礙服務的權限之後，CherryBlos 就會從 C&C 伺服器下載兩個組態設定檔案。C&C 的位址是儲存在一個資源字串當中，並使用 HTTPS 來通訊。

圖 6：C&C 伺服器的位址「008c[.]hugeversapi.com」儲存在資源中。

常駐與躲避偵測

CherryBlos 使用了多種常駐與躲避偵測的技巧，例如以下幾個防止被終止的技巧：

建立一個 1×1 像素的視窗。
發送通知給前景服務。
忽略電池最佳化。

此外，也使用了以下躲避偵測技巧：

自動在系統對話方塊出現時點選「允許」按鈕來自動核准程式要求的權限。
當使用者進入應用程式的設定時，就將使用者帶回裝置首頁畫面，這有可能是一種防止自己被卸載或終止的方法。

竊取登入憑證和財產

CherryBlos 使用了多種手法來竊取受害者虛擬加密貨幣錢包的登入憑證或財產，詳細說明如下。

在正牌應用程式啟動時彈出假冒的畫面

當組態設定中的「 EnableUIMode」欄位設定為「true」時，CherryBlos 就會在使用者啟動正牌應用程式時彈出一系列設計精美但卻是假冒的錢包應用程式畫面。

惡意程式會檢查系統上是否安裝了虛擬加密貨幣錢包應用程式 (它所檢查的錢包會列在組態設定的「DetectionWalletLis」欄位中)，接著將找到的應用程式套件名稱傳回給 C&C 伺服器，然後為每一個找到的錢包應用程式設定一個對應的啟動活動。

CherryBlos 會使用「Accessibility Service」(無障礙服務) 來監控錢包應用程式何時啟動。一旦偵測程式啟動到，就會使用「startActivity」來啟動預先定義的活動，目的就是要誘騙受害者輸入他們的登入憑證。

例如，圖 11 當中的一系列畫面會在使用者開啟正牌 BitKeep 應用程式時出現。受害者一旦匯入了它們的助記詞，並點選「確認」按鈕之後，他們的登入憑證就會被傳送至 C&C 伺服器。

惡意程式竊取到的助記詞會儲存在「Zjc」欄位 (這是簡體中文「助记词」英文拼音「Zhu-ji-ci」的三個開頭字母)，這可能意味著駭客本身使用的是簡體中文。

偷天換日

當組態設定中的「EnableExchange」欄位設定為「true」時，CherryBlos 會修改提款的位址，它會在使用者提款時顯示一個假畫面來顯示使用者原本在正牌 Binance 應用程式中的錢包位址。

CherryBlos 平常就會隨時監控 Binance 的畫面上是否有「Withdrawal」(提款)、「Confirm」(確認) 和「Submit」(送出) 等三個關鍵字。一旦發現，就會利用無障礙服務功能來尋找畫面上的其他資料 (例如貨幣類型與網路類型) 然後記下這些資料。

接著，CherryBlos 會在 Binance 應用程式畫面上覆蓋一個假的提款畫面，然後根據使用者輸入的資料填入先前預先記下的數值。但此時 Binance 應用程式中顯示的實際錢包位址和提領金額都已經被篡改。接下來，當使用者執行提款動作時，款項就會匯到駭客的錢包位址。

利用光學字元辨識 (OCR) 蒐集畫面上的登入憑證

當組態設定檔中的「EnableImage」欄位設定成「true」時，CherryBlos 就會讀取外部儲存裝置上的影像檔案，並使用光學字元辨識 (OCR) 來辨識圖片中的助記詞。

首先，CherryBlos 使用先前提到的自動點按技巧來取得所有 manifest 檔案中定義的敏感權限，也就是「READ_EXTERNAL_STORAGE」和「WRITE_EXTERNAL_STORAGE」。

一旦取得權限之後，CherryBlos 就能執行以下兩件事：

從外部儲存裝置讀取圖片，並使用 OCR 來辨識圖片上的文字。
定期將 OCR 辨識結果上傳至 C&C 伺服器。

圖 16：定期將儲存在 LitePal 的 OCR 辨識結果上傳至 C&C 伺服器的排程工作。

Google Play 也有一個叫「Synthnet」的應用程式

在我們研究一個名為「Synthnet」(「net」當中的「n」小寫) 的 CherryBlos 樣本時，我們發現它的下載頁面上提供了一個指向 Google Play 應用程式的網址。

這個應用程式與另一個 CherryBlos 應用程式擁有相同的套件名稱跟應用程式名稱 (前者叫「Synthnet」，後者叫「SynthNet」)，而它在開發者聯絡資訊當中顯示的隱私權政策也指向網路釣魚網站。

經過進一步分析，我們發現這是一個不含 CherryBlos 惡意程式的應用程式版本 (3.1.17)。不過我們依舊認為 Google Play 上的應用程式同樣是由 CherryBlos 駭客集團所開發，而且應用程式憑證也與含有 CherryBlos 的版本相同。

Subject:O=FXrate
Valid From:2021-11-05 09:45:39
Valid To:2046-10-30 09:45:39
Serial Number:2054d373
Thumbprint:78f5d0d751a5b3f7756317834b9fcb4227cb7fe3

與 Google Play 上另一個進行中的賺錢詐騙行動有所關聯

我們也發現 CherryBlos 與 Google Play 上另一個類似的詐騙行動有所關連。我們相當肯定這兩起詐騙都是同一駭客集團所為，因為它們使用的網路基礎架構以及應用程式憑證都相同。

根據這些樣本所使用的語言，我們判斷駭客的攻擊並不針對特定地區，而是瞄準全球的受害者，所以他們會根據地區來更換程式內的資源字串，並上傳至不同地區的 Google Play 商店 (如：馬來西亞、越南、印尼、菲律賓、烏干達及墨西哥)。

從它的 C&C 伺服器 ( 008c.hugeversapi[.]com) 我們又發現兩個了額外的應用程式：Huge 和 Saya，它們分別會連上 huapi.hugeversapi[.]com 和 sy.hugeversapi[.]com 兩個位址。這兩個應用程式也擁有相同的應用程式憑證，同時也都上傳至 Google Play。其中，Saya 在本文撰寫時仍在線上。

Subject:CN=goShop, OU=goShop, O=goShop, L=goShop, ST=goShop, C=goShop
Valid From:2020/11/7 下午 12:22:35
Valid To:2045/11/1 下午 12:22:35
Serial Number:29be7603
Thumbprint: f76985062c394463e6a15e40bc2a48c5fb7fd6ba

此外，我們還發現了更多擁有相同應用程式憑證的程式，它們全都利用購物相關的主題，宣稱使用者可透過完成一些任務來賺錢，而且還會誘騙使用者儲值來騙取更多錢。圖 17 顯示這些應用程式的兩個範例。

儘管這些應用程式看似功能完整，但我們卻發現它們有些不正常的地方，尤其，所有上述應用程式都長得很像，唯一的差別就是操作介面的語言，所以應該都是衍生自同一個應用程式樣板。還有它們在 Google Play 上的說明都長得一樣。

圖 19 和 20 顯示 Canyon 和 Onefire 兩個應用程式的比較，這兩個應用程式分別是針對烏干達和越南兩個地區。根據我們對應用程式資源的分析，它們唯一的差別就只在資源字串：其中一個使用越南文，另一個使用英文

這些應用程式底下都有大量使用者留下負評說它們是詐騙程式，因為使用者在儲值之後無法將錢提領出來。

圖 21：應用程式「com.mramyr.myrapp」在 Google Play 上的評價。

所以我們決定將這些應用程式歸類為詐騙程式，並命名為「FakeTrade」。

趨勢科技總共找到了 31 個相關的應用程式，它們上傳至 Google Play 的時間大多在 2021 和 2022 年前三季期間。截至本文撰稿為止，所有上述已發現的惡意程式都已經從 Google Play 下架。也許駭客正準備利用類似的攻擊技巧在未來發動更多攻擊。

結論

我們的研究揭露了一系列和 CherryBlos 惡意程式以及其他賺錢詐騙應用程式相關的行動。這些行動背後的駭客運用了進階的躲避偵測技巧，例如：軟體封裝、加密編碼，並利用了 Android 的無障礙服務。這些攻擊行動的目標遍及全球，並持續對使用者造成重大風險，這一點從 Google Play 上一直存在的惡意程式即可證明。

要防範這樣的行動威脅，使用者應該養成以下幾個良好習慣：

只從信任的來源和信譽優良的開發者下載應用程式。在安裝之前，務必先檢查應用程式的星等和評價，小心那些有大量負評和被檢舉為詐騙的應用程式。
務必安裝您裝置最新的修補更新和作業系統更新，這類更新通常會修正一些已知漏洞。
安裝一套信譽良好的行動安全防護軟體來偵測和攔截惡意程式及其他威脅。
仔細查看應用程式要求您核准什麼權限，尤其是存取敏感資訊或系統設定的權限。
避免點選可疑連結或從不明來源下載附件檔案，因為這些有可能讓您感染惡意程式或遇到網路釣魚詐騙。

使用者若能確實遵守以上建議，就能盡量降低行動裝置威脅相關的風險，進而保障裝置和個人資訊的安全。

趨勢科技是 Google 應用程式防禦聯盟 (App Defense Alliance，簡稱 ADA) 的成員，該聯盟的宗旨就是要提升使用者的安全，在應用程式上架到 Google Play 商店之前預先偵測是否含有惡意程式。身為該聯盟的一員，趨勢科技致力與 Google 合作協助使用者防範不肖之徒，建立一個更安全的數位資訊交換世界。

入侵指標 (IoC)

如需本文當中提到的入侵指標，請參閱此處。