Nový spyware zaměřený na uživatele objevený v App Storu a Google Play

Odborníci ze společnosti Kaspersky 26. června oznámili, že objevili nový spyware s názvem SparkKitty, který je určen k útoku na chytré telefony s operačními systémy iOS a Android a následnému odesílání obrázků a informací o zařízení z infikovaných telefonů na server útočníka.

SparkKitty byl vložen do aplikací s obsahem souvisejícím s kryptoměnami, hazardními hrami a také do falešné verze aplikace TikTok. Tyto aplikace byly distribuovány nejen prostřednictvím App Storu a Google Play, ale také na podvodných webových stránkách.

Podle analýzy expertů by cílem této kampaně mohlo být krádež kryptoměny od uživatelů v jihovýchodní Asii a Číně. Uživatelé ve Vietnamu jsou také vystaveni riziku podobných hrozb.

Společnost Kaspersky upozornila společnosti Google a Apple, aby podnikly kroky proti škodlivým aplikacím. Některé technické detaily naznačují, že nová kampaň je spojena s trojským koněm SparkCat, který byl dříve objeven. SparkCat je první malware na platformě iOS s vestavěným modulem optického rozpoznávání znaků (OCR), který skenuje uživatelské fotobanky a krade snímky obrazovky obsahující hesla nebo fráze pro obnovení kryptoměnových peněženek.

Po SparkCat je to letos podruhé, co výzkumníci z Kaspersky objevili v App Storu trojského koně, který se vykrádá.

V App Storu je tento trojský kůň maskovaný jako aplikace související s kryptoměnami s názvem 币coin. Kromě toho na podvodných webových stránkách, které napodobují rozhraní App Storu pro iPhone, kyberzločinci šíří tento malware také pod rouškou aplikace TikTok a některých sázkových her.

„Falešné webové stránky jsou jedním z nejoblíbenějších kanálů pro distribuci trojských koní, kde se hackeři snaží oklamat uživatele, aby navštívili a nainstalovali malware na iPhony. V systému iOS stále existují legitimní způsoby, jak si uživatelé mohou instalovat aplikace mimo App Store. V tomto útoku hackeři zneužili vývojářský nástroj určený k instalaci interních aplikací v rámci firem. V infikované verzi TikToku malware, jakmile se uživatel přihlásí, ukradne fotografie z galerie telefonu a tajně vloží podivný odkaz na osobní stránku oběti. Znepokojivé je, že tento odkaz vede do obchodu, který přijímá pouze platby kryptoměnami, což nás ohledně této kampaně ještě více znepokojuje,“ řekl Sergej Puzan, analytik malwaru ve společnosti Kaspersky.

V systému Android útočníci cílili na uživatele v obchodě Google Play i na webových stránkách třetích stran tím, že malware maskovali jako služby související s kryptoměnami. Jedním z příkladů infikované aplikace je SOEX, aplikace pro zasílání zpráv s vestavěnou funkcí pro obchodování s kryptoměnami, která si z oficiálního obchodu stáhla více než 10 000 uživatelů.

Odborníci navíc na webových stránkách třetích stran objevili soubory APK (instalační soubory aplikací pro Android, které lze nainstalovat přímo bez nutnosti používání obchodu Google Play) těchto aplikací infikovaných malwarem, o nichž se předpokládá, že souvisejí s výše uvedenou útočnou kampaní.

Tyto aplikace jsou propagovány pod rouškou investičních projektů v oblasti kryptoměn. Je pozoruhodné, že webové stránky, které tyto aplikace distribuují, jsou také široce propagovány na sociálních sítích, včetně YouTube.

„Po instalaci aplikace fungují tak, jak je popsáno. Během instalace se však tiše infiltrují do zařízení a automaticky odesílají obrázky z galerie oběti zpět útočníkovi. Tyto obrázky mohou obsahovat citlivé informace, které hackeři hledají, například skripty pro obnovení krypto peněženky, což jim umožňuje ukrást digitální aktiva oběti,“ uvedl Dmitrij Kalinin, analytik malwaru ve společnosti Kaspersky. „Existují nepřímé náznaky, že útočníci útočí na digitální aktiva uživatelů: mnoho infikovaných aplikací souvisí s kryptoměnami a infikovaná verze TikToku obsahuje také obchod, který přijímá pouze platby v kryptoměnách.“

Aby se uživatelé nestali obětí tohoto malwaru, společnost Kaspersky doporučuje, aby přijali následující bezpečnostní opatření:

- Pokud jste si omylem nainstalovali některou z infikovaných aplikací, co nejdříve ji ze zařízení odstraňte a nepoužívejte ji, dokud nebude k dispozici oficiální aktualizace, která škodlivou funkci zcela odstraní.

- Vyhněte se ukládání snímků obrazovky obsahujících citlivé informace do vaší fotobanky, zejména obrázků s kódy pro obnovení kryptoměnové peněženky. Uživatelé si místo toho mohou ukládat přihlašovací údaje do specializovaných aplikací pro správu hesel.

- Nainstalujte si spolehlivý bezpečnostní software, abyste zabránili riziku infekce malwarem. V operačních systémech iOS s jejich jedinečnou bezpečnostní architekturou vás řešení od Kaspersky upozorní, pokud detekuje zařízení přenášející data na řídicí server hackera, a tento proces přenosu dat zablokuje.

- Když aplikace požaduje přístup k fotobankě, uživatelé by měli pečlivě zvážit, zda je toto oprávnění skutečně nezbytné pro hlavní funkci aplikace./.

Zdroj: https://www.vietnamplus.vn/phat-hien-phan-mem-gian-diep-moi-nham-vao-nguoi-tren-app-store-va-google-play-post1046585.vnp