安全公司趋势科技的研究人员发现了一种被称为 CherryBlos 的 Android 恶意程序，能使用光学字符识别窃取手机屏幕上显示的凭证。恶意程序主要通过第三方传播的 Android apps 传播。研究人员发现恶意程序的开发者也在 Google Play 官方市场发布了相同的应用，但并不含有恶意负荷。一旦安装，当用户打开币安等合法加密货币应用，CherryBlos 的覆盖窗口会模拟这些应用，在提款时将受害者接受资金的钱包地址替换成攻击者控制的钱包地址。当合法应用显示密码口令时，恶意程序会截图然后使用光学字符识别将图像翻译成文本格式，然后攻击者可以窃取账号的资金。

https://www.trendmicro.com/en_us/research/23/g/cherryblos-and-faketrade-android-malware-involved-in-scam-campai.html