A rosszindulatú alkalmazások banki, kormányzati appnak, streaming szolgáltatók és közműszolgáltatók hivatalos alkalmazásainak álcázzák magukat. Valójában a fertőzött telefonokat szöveges üzenetek, névjegyek és a tárolt képek után kutatják át, és titokban elküldik azokat az alkalmazásfejlesztők által irányított távoli szerverekre – idézi a lapot a Portfolio.

Az alkalmazások fertőzött webhelyekről érhetőek el, és a célpontoknak küldött adathalász üzenetekben terjesztik őket. Nincs arra utaló jel, hogy az alkalmazások bármelyike elérhető lett volna a Google Play-en keresztül.

SangRyol Ryu, a McAfee biztonsági cég kutatója fedezte fel az új támadást. „A támadók elsődleges célja a kriptopénz-tárcákhoz tartozó helyreállítási mondatok megszerzése volt” – közölte a szakértő.

Az újonnan felfedezett kártevő fontos eleme, hogy a csalók optikai karakterfelismerő szoftvert alkalmaznak, ez a gépelt, kézzel írt vagy nyomtatott szöveg képének gépi kódolású szöveggé történő átalakítását jelenti.

A technológia segítségével megpróbálják kinyerni kriptopénz-tárcák hitelesítő adatait, amelyek a fertőzött eszközökön tárolt képeken találhatók meg. Sok pénztárca lehetővé teszi a felhasználók számára, hogy véletlenszerű szavak sorozatával védjék pénztárcájukat. Ezeket a hitelesítő adatokat a legtöbb ember könnyebben megjegyzi, mint a privát kulcsban megjelenő hosszú karaktersorokat.