趋势科技的网络安全研究人员发现了两种针对Android系统构建的恶意软件变种，其中一种能够窃取照片和图片中存储的信息。

该公司网站上发布的一份报告称，最近发现了CheeryBlos和FakeTrade这两个恶意软件家族，其中一个甚至进入了Android官方应用程序存储库GooglePlay。

发现这些应用程序的研究人员得出的结论是，鉴于它们使用相同的网络基础设施和相同的证书，它们都属于同一威胁参与者。这些恶意软件变体隐藏在不同的应用程序中，其中包括上传到GooglePlay的名为SynthNet的应用程序。根据BleepingComputer的报告，在从商店下架之前，它的下载量约为1,000次。

但这并不是应用程序分发的唯一方式。威胁行为者使用常见的分发策略，例如社交媒体渠道或网络钓鱼网站。他们会在Telegram、Twitter或YouTube上推广这些应用程序，将它们展示为人工智能工具或加密货币矿工。其中一些应用程序称为GPTalk、HappyMiner或Robot999。可以说，如果您的端点上安装了其中任何一个，请立即删除它们。

该恶意软件的目标是从受感染的设备中窃取有价值的数据，包括用户可能存在移动应用程序钱包中的任何加密货币。恶意软件的方法之一是通过在任何加密应用程序上覆盖不可见(或虚假)的用户界面，用户在输入凭据时会将其交给攻击者。另一种方法是劫持剪贴板。如果用户复制加密钱包，恶意软件会将剪贴板中的它替换为属于攻击者的另一个地址。因此，当受害者粘贴地址时，除非他们逐个字符地仔细检查，否则他们最终会将钱汇给骗子。

另一种方法是通过光学字符识别或OCR。如今大多数高端智能手机都具有该功能，该功能允许设备“读取”照片或图像上的文本。例如，当在国外用餐时需要翻译菜单时，它非常有用。骗子使用OCR让恶意软件扫描照片库中的任何相关图像，并将数据提取到C2。

研究人员得出结论，虽然骗子似乎并不针对任何特定地区，但受害者主要居住在马来西亚、越南、印度尼西亚、菲律宾、乌干达和墨西哥。

分析：为什么它很重要?

加密货币，尤其是比特币和以太币，仍然在全球范围内广泛流行，随着下一次比特币减半大约在明年5月到来，许多人已经在“囤积”，期待可能出现的下一次牛市，届时比特币可能会暴涨每枚硬币价值超过100,000美元。这使得许多人，尤其是市场新进入者，很容易受到诈骗和黑客攻击。

加密货币的“问题”是，一旦发起转账，就无法逆转(除非是由加密货币交易所等第三方进行的，如果收到可能的欺诈警报，第三方可能会及时阻止转账)。第二个“问题”是当今大多数加密货币的保护方式-大多数加密钱包都带有所谓的种子短语(也称为恢复短语或助记词短语)-一串12或24个单词，可用于恢复钱包，以防钱包丢失或忘记密码。

虽然设计师坚持要求人们将这些单词写在一张纸上的某个地方并安全地存储(而不是数字化)，但许多人最终还是拍摄了他们的助记词并将其存储在智能手机或云服务上。如果支持OCR的恶意软件发现这些照片，骗子就可以轻松接管钱包并在几秒钟内清空它。

其他人对此恶意软件有何评价?

在ArsTechnica的评论部分，一些用户讨论了这样的恶意软件永远不会在Apple设备上传播。“我永远不会离开苹果的原因。我的手机上不需要AV扫描仪。我不需要侧载，”其中一条评论说道。“一方面，缺乏侧面加载实际上不可能分发恶意应用程序。你不会在AppStore中找到这样的垃圾。”另一位用户说道。“iOSAPI甚至不允许开发人员完成类似的事情-Android恶意软件很少利用漏洞。他们仅通过使用标准API就可以完成这些工作。Apple将iPhone作为(某种程度上受限的)应用程序平台的做法对于我们用户来说取得了令人难以置信的成功。对于游戏机来说也是如此：零恶意软件。”

其他人指出，人为因素仍然是造成所有差异的原因：“要使其发挥作用，需要可访问权限。这是一个比其他权限更复杂的过程。我正在使用合法的应用程序进行尝试，该应用程序必须向您提供有关在设置中执行哪些操作的说明，然后将设置应用程序启动到相当接近的屏幕，”他们说。“你不可能不小心点击这个。”

最后，那些对苹果与安卓的持久战争不感兴趣的人将注意力转向了移动防病毒程序的无能：

“听起来连Google的PlayProtect都无法检测到这些应用程序中的恶意软件，因为趋势科技是报告该恶意软件的人，”一位用户说道。另一位用户表示：“该应用程序于2023年6月20日16:09:16UTC首次在VirusTotal上提交，这意味着一个多月过去了，绝大多数反病毒软件仍未检测到该不良应用程序。”