Mohamed Nohassi on Unsplash

安全廠商趨勢科技近日發現一隻Android竊密程式，能利用光學辨識（OCR）技術萃取出手機螢幕的文字，以竊取帳號密碼。

趨勢科技今年4月發現二波有關的惡意程式攻擊。其中一波是透過釣魚網站散布名為CherryBlos的竊密程式，另一波則是存在Google Play Store上的詐騙App。

其中CherryBlos具備使用OCR圖像辨識工具的進階能力。今年4月CherryBlos嵌入於挖礦軟體的App中，透過推特、TikTok、Telegram等傳播，廣告連結將用戶導向釣魚網站下載到其Android手機上。CherryBlos目的在竊取加密貨幣帳號的憑證，並在用戶提款時置換錢包網址為攻擊者所控制的網址，以掏空用戶錢包。

研究人員發現，CherryBlos具有多種高明技倆以避免偵測。為躲避靜態偵測，惡意程式作者以強大的市售封裝工具Jiagubao（360加固保）內建加密技術封裝，以加密CherryBlos大部分字串，減少被偵測的機率，也會以WebView顯示官網以免受害者起疑心。

CherryBlos和金融木馬程式很像，會要求輔助功能的存取許可。它在用戶開啟電子錢包App後顯示對話提示窗，要求使用者同意給予許可。CherryBlos還會假造電子錢包App啟用活動，以誘使用戶輸入密碼片語（passphrase）。很特別的是，取得輔助功能存取許可後，當用戶在螢幕上輸入密碼時，CherryBlos會先拍下螢幕擷圖，以OCR翻譯成文字格式後，將密碼片語、連同植入的電子錢包App套件名稱等資訊，傳送給駭客控制的C&C伺服器。此外，當用戶從交易平臺提款存到自己的線上電子錢包時，CherryBlos會將錢包網址置換成攻擊者所控制的網域，以便竊取加密貨幣。

研究人員還在Google Play Store上發現不含CherryBlos的同樣的App。他們相信是由同一個團隊開發。

此外，除了CherryBlos外，研究人員也在Google Play上發現疑似和CherryBlos有關的惡意App，因其使用相同的網路基礎架構及App憑證。這些App 謊稱用戶可經由導流量賺取獲利，但受害者最後是提不出錢的，故其中的惡意程式被研究人員稱為FakeTrade。倒楣的用戶下載安裝這些App後大量給予負評。

這類詐騙App共有31款上傳Google Play Store，現已全數為Google移除。

安全廠商提醒，用戶應避免從第三方網站下載不熟悉的App。且安裝前應仔細審閱其他用戶的評論，看看是否有提及可能是惡意程式。此外也應留心App要求的許可，特別是要求輔助功能存取權限。