Νέο λογισμικό κατασκοπείας που στοχεύει άτομα ανακαλύφθηκε στο App Store και το Google Play

Στις 26 Ιουνίου, ειδικοί της Kaspersky ανακοίνωσαν ότι ανακάλυψαν ένα νέο spyware που ονομάζεται SparkKitty, το οποίο έχει σχεδιαστεί για να επιτίθεται σε smartphones που χρησιμοποιούν λειτουργικά συστήματα iOS και Android και στη συνέχεια να στέλνει εικόνες και πληροφορίες συσκευής από μολυσμένα τηλέφωνα στον διακομιστή του εισβολέα.

Το SparkKitty ενσωματώθηκε σε εφαρμογές με περιεχόμενο που σχετίζεται με κρυπτονομίσματα και τυχερά παιχνίδια, καθώς και σε μια ψεύτικη έκδοση της εφαρμογής TikTok. Αυτές οι εφαρμογές διανεμήθηκαν όχι μόνο μέσω του App Store και του Google Play, αλλά και σε δόλιες ιστοσελίδες.

Σύμφωνα με την ανάλυση των ειδικών, ο στόχος αυτής της εκστρατείας μπορεί να είναι η κλοπή κρυπτονομισμάτων από χρήστες στη Νοτιοανατολική Ασία και την Κίνα. Οι χρήστες στο Βιετνάμ κινδυνεύουν επίσης να αντιμετωπίσουν παρόμοιες απειλές.

Η Kaspersky έχει ειδοποιήσει την Google και την Apple να λάβουν μέτρα κατά των κακόβουλων εφαρμογών. Ορισμένες τεχνικές λεπτομέρειες υποδηλώνουν ότι η νέα καμπάνια συνδέεται με το SparkCat, ένα Trojan που είχε ανακαλυφθεί προηγουμένως. Το SparkCat είναι το πρώτο κακόβουλο λογισμικό στην πλατφόρμα iOS που διαθέτει ενσωματωμένη μονάδα οπτικής αναγνώρισης χαρακτήρων (OCR) που σαρώνει τη βιβλιοθήκη φωτογραφιών ενός χρήστη και κλέβει στιγμιότυπα οθόνης που περιέχουν κωδικούς πρόσβασης ή φράσεις ανάκτησης για πορτοφόλια κρυπτονομισμάτων.

Μετά το SparkCat, αυτή είναι η δεύτερη φορά φέτος που οι ερευνητές της Kaspersky ανακάλυψαν ένα Trojan stealer στο App Store.

Στο App Store, αυτό το κακόβουλο λογισμικό Trojan μεταμφιέζεται σε μια εφαρμογή που σχετίζεται με κρυπτονομίσματα και ονομάζεται 币coin. Επιπλέον, σε δόλιες ιστοσελίδες που έχουν σχεδιαστεί για να μιμούνται τη διεπαφή του iPhone App Store, οι κυβερνοεγκληματίες διαδίδουν επίσης αυτό το κακόβουλο λογισμικό με το πρόσχημα της εφαρμογής TikTok και ορισμένων παιχνιδιών στοιχημάτων.

«Οι ψεύτικες ιστοσελίδες είναι ένα από τα πιο δημοφιλή κανάλια για τη διανομή Trojans, όπου οι χάκερ προσπαθούν να ξεγελάσουν τους χρήστες ώστε να επισκεφθούν και να εγκαταστήσουν κακόβουλο λογισμικό σε iPhone. Στο iOS, εξακολουθούν να υπάρχουν ορισμένοι νόμιμοι τρόποι για τους χρήστες να εγκαθιστούν εφαρμογές εκτός του App Store. Σε αυτήν την εκστρατεία επίθεσης, οι χάκερ εκμεταλλεύτηκαν ένα εργαλείο προγραμματιστή που έχει σχεδιαστεί για την εγκατάσταση εσωτερικών εφαρμογών σε επιχειρήσεις. Στη μολυσμένη έκδοση του TikTok, μόλις ο χρήστης συνδεθεί, το κακόβουλο λογισμικό κλέβει φωτογραφίες από τη συλλογή του τηλεφώνου και εισάγει κρυφά έναν παράξενο σύνδεσμο στο προφίλ του θύματος. Αυτό που ανησυχεί είναι ότι αυτός ο σύνδεσμος οδηγεί σε ένα κατάστημα που δέχεται μόνο πληρωμές με κρυπτονομίσματα, γεγονός που μας ανησυχεί ακόμη περισσότερο για αυτήν την εκστρατεία», δήλωσε ο Sergey Puzan, αναλυτής κακόβουλου λογισμικού στην Kaspersky.

Στο Android, οι εισβολείς στόχευσαν χρήστες τόσο στο Google Play όσο και σε ιστότοπους τρίτων, μεταμφιέζοντας το κακόβουλο λογισμικό ως υπηρεσίες που σχετίζονται με κρυπτονομίσματα. Ένα παράδειγμα μολυσμένης εφαρμογής είναι το SOEX, μια εφαρμογή ανταλλαγής μηνυμάτων με ενσωματωμένη λειτουργία συναλλαγών κρυπτονομισμάτων, με πάνω από 10.000 λήψεις από το επίσημο κατάστημά της.

Επιπλέον, οι ειδικοί ανακάλυψαν επίσης αρχεία APK (αρχεία εγκατάστασης εφαρμογών Android, τα οποία μπορούν να εγκατασταθούν απευθείας χωρίς να χρειάζεται να περάσουν από το Google Play) αυτών των εφαρμογών που είχαν μολυνθεί από κακόβουλο λογισμικό σε ιστότοπους τρίτων, τα οποία πιστεύεται ότι σχετίζονται με την παραπάνω εκστρατεία επίθεσης.

Αυτές οι εφαρμογές προωθούνται με το πρόσχημα επενδυτικών έργων σε κρυπτονομίσματα. Αξίζει να σημειωθεί ότι οι ιστότοποι που διανέμουν τις εφαρμογές προωθούνται επίσης ευρέως στα μέσα κοινωνικής δικτύωσης, συμπεριλαμβανομένου του YouTube.

«Μόλις εγκατασταθούν, οι εφαρμογές λειτουργούν όπως περιγράφεται», δήλωσε ο Dmitry Kalinin, αναλυτής κακόβουλου λογισμικού στην Kaspersky. «Ωστόσο, κατά την εγκατάσταση, διεισδύουν σιωπηλά στη συσκευή και στέλνουν αυτόματα εικόνες από τη συλλογή του θύματος στον εισβολέα. Αυτές οι εικόνες ενδέχεται να περιέχουν ευαίσθητες πληροφορίες που αναζητούν οι εισβολείς, όπως σενάρια ανάκτησης κρυπτονομισμάτων, επιτρέποντάς τους να κλέψουν τα ψηφιακά περιουσιακά στοιχεία του θύματος. Υπάρχουν έμμεσες ενδείξεις ότι οι εισβολείς αναζητούν τα ψηφιακά περιουσιακά στοιχεία των χρηστών: πολλές από τις μολυσμένες εφαρμογές σχετίζονται με κρυπτονομίσματα και η μολυσμένη έκδοση του TikTok περιλαμβάνει επίσης ένα κατάστημα που δέχεται μόνο πληρωμές με κρυπτονομίσματα».

Για να μην πέσουν θύματα αυτού του κακόβουλου λογισμικού, η Kaspersky συνιστά στους χρήστες να λαμβάνουν τα ακόλουθα μέτρα ασφαλείας:

- Εάν έχετε εγκαταστήσει κατά λάθος μία από τις μολυσμένες εφαρμογές, καταργήστε γρήγορα την εφαρμογή από τη συσκευή σας και μην την χρησιμοποιήσετε ξανά μέχρι να υπάρξει επίσημη ενημέρωση για την πλήρη κατάργηση της κακόβουλης λειτουργίας.

- Αποφύγετε την αποθήκευση στιγμιότυπων οθόνης που περιέχουν ευαίσθητες πληροφορίες στη βιβλιοθήκη φωτογραφιών σας, ειδικά εικόνων που περιέχουν κωδικούς ανάκτησης πορτοφολιών κρυπτονομισμάτων. Αντ' αυτού, οι χρήστες μπορούν να αποθηκεύουν τα στοιχεία σύνδεσης σε ειδικές εφαρμογές διαχείρισης κωδικών πρόσβασης.

- Εγκαταστήστε αξιόπιστο λογισμικό ασφαλείας για να αποτρέψετε τον κίνδυνο μόλυνσης από κακόβουλο λογισμικό. Για λειτουργικά συστήματα iOS με συγκεκριμένη αρχιτεκτονική ασφαλείας, η λύση της Kaspersky θα σας προειδοποιήσει εάν εντοπίσει τη συσκευή να μεταδίδει δεδομένα στον διακομιστή ελέγχου του χάκερ και θα μπλοκάρει αυτήν τη διαδικασία μετάδοσης δεδομένων.

- Όταν μια εφαρμογή ζητά πρόσβαση στη βιβλιοθήκη φωτογραφιών, οι χρήστες θα πρέπει να εξετάσουν προσεκτικά εάν αυτή η άδεια είναι πραγματικά απαραίτητη για την κύρια λειτουργία της εφαρμογής.

Πηγή: https://www.vietnamplus.vn/phat-hien-phan-mem-gian-diep-moi-nham-vao-nguoi-tren-app-store-va-google-play-post1046585.vnp