V App Storu a Google Play byl objeven nový spyware zaměřený na uživatele.

Odborníci společnosti Kaspersky 26. června oznámili objev nového spywaru s názvem SparkKitty, který je určen k útoku na chytré telefony s operačními systémy iOS a Android a následnému odesílání obrázků a informací o zařízení z infikovaných telefonů na server útočníka.

SparkKitty je integrován do aplikací s obsahem souvisejícím s kryptoměnami a hazardními hrami, stejně jako do falešné verze aplikace TikTok. Tyto aplikace jsou distribuovány nejen prostřednictvím App Storu a Google Play, ale také na phishingových webových stránkách.

Podle expertní analýzy by cílem této kampaně mohlo být krádež kryptoměny od uživatelů v jihovýchodní Asii a Číně. Podobné hrozbě čelí i uživatelé ve Vietnamu.

Společnost Kaspersky upozornila společnosti Google a Apple, aby se zabývaly výše zmíněnými škodlivými aplikacemi. Některé technické detaily naznačují, že tato nová útočná kampaň souvisí se SparkCat – dříve detekovaným trojským koněm. SparkCat je první malware na platformě iOS, který má integrovaný modul optického rozpoznávání znaků (OCR) pro skenování uživatelských fotobank a krádež snímků obrazovky obsahujících hesla nebo fráze pro obnovení kryptoměnové peněženky.

Po útoku SparkCat je to letos podruhé, co výzkumníci z Kaspersky detekovali v App Storu malware typu „trojan stealer“.

V App Storu je tento trojský kůň maskovaný jako aplikace související s kryptoměnami s názvem 币coin. Kyberzločinci navíc na phishingových webových stránkách, které napodobují rozhraní App Storu pro iPhone, distribuují tento malware pod rouškou TikToku a některých hazardních her.

anh-kaspersky-2-kaspersky-has-discovered-sparkkitty-a-new-trojan-spy-on-app-store-and-google-playjpg.png — V App Storu se objevila falešná aplikace pro směnu kryptoměn 币coin. (Snímek obrazovky)

anh-kaspersky-3-kaspersky-has-discovered-sparkkitty-a-new-trojan-spy-on-app-store-and-google-playjpg.png — Byl vytvořen falešný web z App Storu, který měl uživatele oklamat a přimět je nainstalovat aplikaci TikTok prostřednictvím vývojářských nástrojů. (Snímek obrazovky)

anh-kaspersky-4-kaspersky-has-discovered-sparkkitty-a-new-trojan-spy-on-app-store-and-google-playjpg.png — Falešný internetový obchod byl vložen do falešné aplikace TikTok. (Snímek obrazovky)

Sergej Puzan, analytik malwaru ve společnosti Kaspersky, uvedl: „Falešné webové stránky jsou jedním z nejběžnějších kanálů pro distribuci trojského malwaru, kde se hackeři snaží oklamat uživatele, aby získali přístup k škodlivému softwaru a nainstalovali si ho na své iPhony. V operačním systému iOS stále existují legitimní metody, jak si uživatelé mohou instalovat aplikace mimo App Store. V tomto útoku hackeři zneužili vývojářský nástroj – určený k interní instalaci aplikací v rámci firem. V infikované verzi TikTok malware ihned po přihlášení uživatele ukradl fotografie z galerie telefonu a tajně vložil podivný odkaz na stránku profilu oběti. Znepokojivé je, že tento odkaz vedl do obchodu, který přijímá pouze platby v kryptoměnách, což dále zvyšuje naše obavy z této kampaně.“

V operačním systému Android útočníci cílí na uživatele v obchodě Google Play i na webových stránkách třetích stran tím, že malware maskují jako služby související s kryptoměnami. Jedním z příkladů infikované aplikace je SOEX – aplikace pro zasílání zpráv s integrovanou funkcí obchodování s kryptoměnami, která má z oficiálního obchodu více než 10 000 stažení.

anh-kaspersky-5-kaspersky-has-discovered-sparkkitty-a-new-trojan-spy-on-app-store-and-google-playjpg.png — Falešná aplikace pro směnu kryptoměn SOEX na Google Play. (Snímek obrazovky)

Odborníci navíc na webových stránkách třetích stran objevili soubory APK (instalační soubory aplikací pro Android, které lze nainstalovat přímo bez nutnosti používání obchodu Google Play) těchto infikovaných aplikací, o nichž se předpokládá, že souvisejí s výše zmíněnou útočnou kampaní.

Tyto aplikace jsou propagovány jako investiční projekty v oblasti kryptoměn. Je pozoruhodné, že webové stránky distribuující tyto aplikace jsou také široce propagovány na sociálních sítích, včetně YouTube.

Dmitrij Kalinin, analytik malwaru ve společnosti Kaspersky, uvedl: „Po instalaci tyto aplikace fungují tak, jak bylo původně popsáno. Během instalace se však tiše infiltrují do zařízení a automaticky odesílají útočníkovi obrázky z galerie oběti. Tyto obrázky mohou obsahovat citlivé informace, které hackeři hledají, jako například kódy pro obnovení kryptoměnové peněženky, což jim umožňuje ukrást digitální aktiva oběti. Existuje mnoho nepřímých známek toho, že útočná skupina cílí na digitální aktiva uživatelů: mnoho infikovaných aplikací souvisí s kryptoměnami a malwarem napadená verze TikToku také integruje obchod, který přijímá pouze platby v kryptoměnách.“

Aby se uživatelé nestali obětí tohoto malwaru, společnost Kaspersky doporučuje, aby přijali následující bezpečnostní opatření:

- Pokud jste si omylem nainstalovali některou z infikovaných aplikací, rychle ji ze zařízení odstraňte a nepoužívejte ji, dokud nebude vydána oficiální aktualizace, která škodlivé funkce zcela odstraní.

- Neukládejte si do fotobanky snímky obrazovky obsahující citlivé informace, zejména obrázky s kódy pro obnovení kryptoměnové peněženky. Uživatelé si místo toho mohou ukládat přihlašovací údaje do specializovaných aplikací pro správu hesel.

- Nainstalujte si spolehlivý bezpečnostní software, abyste zabránili riziku infekce malwarem. V operačním systému iOS s jeho jedinečnou bezpečnostní architekturou vás řešení od Kaspersky upozorní, pokud zjistí, že zařízení přenáší data na velitelský a řídicí server hackera, a tento přenos dat zablokuje.

- Když aplikace požaduje přístup k knihovně fotografií, uživatelé by měli pečlivě zvážit, zda je toto oprávnění skutečně nezbytné pro hlavní funkci aplikace.

Komentář (0)