Am 26. Juni gaben Experten von Kaspersky bekannt, dass sie eine neue Spyware namens SparkKitty entdeckt hätten. Diese sei darauf ausgelegt, Smartphones mit iOS- und Android-Betriebssystemen anzugreifen und anschließend Bilder und Geräteinformationen von infizierten Telefonen an die Server des Angreifers zu senden.
SparkKitty war in Apps mit Kryptowährungs- und Glücksspielinhalten sowie in einer gefälschten Version der TikTok-App eingebettet. Diese Apps wurden nicht nur über den App Store und Google Play, sondern auch über betrügerische Websites verbreitet.
Expertenanalysen zufolge könnte das Ziel dieser Kampagne darin bestehen, Kryptowährungen von Nutzern in Südostasien und China zu stehlen. Auch Nutzer in Vietnam sind ähnlichen Bedrohungen ausgesetzt.
Kaspersky hat Google und Apple aufgefordert, gegen die schädlichen Apps vorzugehen. Einige technische Details deuten darauf hin, dass die neue Kampagne mit SparkCat, einem bereits zuvor entdeckten Trojaner, in Verbindung steht. SparkCat ist die erste Malware auf der iOS-Plattform mit einem integrierten Modul zur optischen Zeichenerkennung (OCR), das die Fotobibliothek eines Benutzers scannt und Screenshots mit Passwörtern oder Wiederherstellungsphrasen für Kryptowährungs-Wallets stiehlt.
Nach SparkCat ist dies bereits das zweite Mal in diesem Jahr, dass Kaspersky-Forscher einen Trojaner-Dieb im App Store entdeckt haben.
Im App Store ist dieser Trojaner als Kryptowährungs-App namens 币coin getarnt. Darüber hinaus verbreiten Cyberkriminelle diese Malware auf betrügerischen Websites, die die Oberfläche des iPhone App Store nachahmen, unter dem Deckmantel der TikTok-App und einiger Wettspiele.
„Gefälschte Websites sind einer der beliebtesten Kanäle für die Verbreitung von Trojanern. Hacker versuchen dort, Nutzer dazu zu verleiten, iPhones zu besuchen und dort Malware zu installieren. Unter iOS gibt es weiterhin einige legitime Möglichkeiten für Nutzer, Apps von außerhalb des App Stores zu installieren. In dieser Angriffskampagne nutzten Hacker ein Entwicklertool, das für die Installation interner Apps in Unternehmen entwickelt wurde. In der infizierten Version von TikTok stiehlt die Malware, sobald sich der Nutzer anmeldet, Fotos aus der Galerie des Telefons und fügt heimlich einen seltsamen Link in das Profil des Opfers ein. Beunruhigend ist, dass dieser Link zu einem Store führt, der ausschließlich Zahlungen in Kryptowährungen akzeptiert. Das macht uns noch besorgter über diese Kampagne“, sagte Sergey Puzan, Malware-Analyst bei Kaspersky.
Unter Android nahmen Angreifer Nutzer sowohl im Google Play Store als auch auf Drittanbieter-Websites ins Visier und tarnten die Malware als Kryptowährungsdienste. Ein Beispiel für eine infizierte App ist SOEX, eine Messaging-App mit integrierter Kryptowährungshandelsfunktion, die im offiziellen Store über 10.000 Mal heruntergeladen wurde.
Darüber hinaus entdeckten Experten auch APK-Dateien (Installationsdateien für Android-Anwendungen, die direkt und ohne Umweg über Google Play installiert werden können) dieser mit Malware infizierten Anwendungen auf Websites von Drittanbietern, die vermutlich mit der oben genannten Angriffskampagne in Verbindung stehen.
Diese Apps werden unter dem Deckmantel von Kryptowährungs-Investitionsprojekten beworben. Die Websites, die die Apps vertreiben, werden auch in sozialen Netzwerken wie YouTube umfassend beworben.
„Nach der Installation funktionieren die Apps wie beschrieben“, so Dmitry Kalinin, Malware-Analyst bei Kaspersky. „Während der Installation infiltrieren sie jedoch unbemerkt das Gerät und senden automatisch Bilder aus der Galerie des Opfers an den Angreifer. Diese Bilder können sensible Informationen enthalten, nach denen die Angreifer suchen, wie zum Beispiel Wiederherstellungsskripte für Krypto-Wallets, mit denen sie die digitalen Vermögenswerte des Opfers stehlen können. Es gibt indirekte Hinweise darauf, dass die Angreifer es auf die digitalen Vermögenswerte der Nutzer abgesehen haben: Viele der infizierten Apps beziehen sich auf Kryptowährungen, und die infizierte Version von TikTok enthält auch einen Store, der ausschließlich Zahlungen in Kryptowährungen akzeptiert.“
Um nicht Opfer dieser Malware zu werden, empfiehlt Kaspersky Benutzern, die folgenden Sicherheitsmaßnahmen zu ergreifen:
- Wenn Sie versehentlich eine der infizierten Anwendungen installiert haben, entfernen Sie die Anwendung schnell von Ihrem Gerät und verwenden Sie sie nicht erneut, bis ein offizielles Update verfügbar ist, um die schädliche Funktion vollständig zu entfernen.
- Vermeiden Sie es, Screenshots mit vertraulichen Informationen in Ihrer Fotobibliothek zu speichern, insbesondere Bilder mit Wiederherstellungscodes für Kryptowährungs-Wallets. Stattdessen können Benutzer Anmeldeinformationen in speziellen Anwendungen zur Passwortverwaltung speichern.
Installieren Sie zuverlässige Sicherheitssoftware, um das Risiko einer Malware-Infektion zu vermeiden. Bei iOS-Betriebssystemen mit spezieller Sicherheitsarchitektur warnt die Kaspersky-Lösung, wenn sie erkennt, dass das Gerät Daten an den Kontrollserver des Hackers überträgt, und blockiert diese Datenübertragung.
- Wenn eine Anwendung Zugriff auf die Fotobibliothek anfordert, sollten Benutzer sorgfältig prüfen, ob diese Berechtigung für die Hauptfunktion der Anwendung wirklich erforderlich ist./.
Quelle: https://www.vietnamplus.vn/phat-hien-phan-mem-gian-diep-moi-nham-vao-nguoi-tren-app-store-va-google-play-post1046585.vnp
Kommentar (0)