OCRの悪用

OCRはOptical Character Recognition/Readerです。文字を含む画像から文字情報を取り出すことのできる技術です。
これを悪用するandroid向けマルウェア「CherryBlos」が観測されています。
どんなものなのでしょうか。

• 難読化
  いろいろな方法での難読化が存在します。
  このマルウェアでは、静的検出を回避するためにJiagubaoとして知られる商用パッカーを使用していると考えられます。
  これにより動作していない状態でのマルウェアの解析が非常に困難になります。
  難読化にもいろいろあり、解析されたくない文字列部分のみを暗号化するような方法もありますが、このマルウェアでは非常に多くの文字列部分が暗号化されており、解析を困難化しています。

   

• アクセシビリティの悪用
  マルウェアを含むアプリケーションが起動されると、アプリケーションはユーザに権限の付与を要求します。
  画面上では通常の動作に見える動きをしつつ、裏側では取得したアクセシビリティを悪用し、C2からファイルを入手します。

   

• 自己防衛機能
  マルウェアは自分を守る機能をいくつか備えています。
  権限の付与を問うダイアログが画面に表示されると自動的に許可のボタンをクリックする機能を持っています。
  管理機能の中のマルウェアのアプリ詳細画面を開こうとすると、ホーム画面に強制的に戻してしまう機能を持っています。

   

• 暗号資産盗難機能 その1
  偽のユーザインターフェースを表示します。
  起動されるアプリケーションを監視し、起動されるアプリケーションに応じた偽の初期画面を先に起動し、そこで入力される情報を盗み取ります。
  盗み出した情報はC2に送信されます。

   

• 暗号資産盗難機能 その2
  送金プロセスに介入する機能も搭載しています。
  実際に送金が行われるタイミングで送金先を変更しますが、画面には元の送金先の情報が表示された状態にします。
  送金額も変更されてしまっています。

   

• 暗号資産盗難機能 その3
  OCRでの文字認識機能も搭載しています。
  重要情報を取り扱う場面で、覚えておくことが困難な文字列を保管しておくように依頼される場面はよくあります。
  暗号ウォレットの場合であれば、この文字列があればその暗号資産に自由にアクセスできるようになるための文字列となります。
  ユーザの中にはこういった情報を画面保存の形式で記録する人が一定数います。
  このマルウェアはAndroid端末の中の画像を読み取り、画像の中の文字列をOCR機能で抽出し、それをC2に送信します。

いろいろな嫌な要素を持つマルウェアです。
なかでも特に嫌な部分がOCR機能です。
パスコードのような、覚えることが困難な文字列が画面に表示された場合、みなさんはどのようにしてそれを記録していますか？
文字情報としてどこかに記録しておくことには危険を感じます。
じゃ、画面を保存して画像で持っておけば大丈夫だろう、ということは思いつきます。
しかしそうとは言い切れないということになります。

入手するファイルの入手経路に注意し、正規のもの以外を入手してしまうことがないようにする、ということは基本的な安全対策です。
そういった行動に加え、重要情報の取り扱いにも注意が必要ということですね。

参考記事（外部リンク）：Related CherryBlos and FakeTrade Android Malware Involved in
Scam Campaigns
www.trendmicro.com/en_us/research/23/g/cherryblos-and-faketrade-android-malware-involved-in-scam-campai.html