جاسوس‌افزار جدیدی که کاربران را در اپ استور و گوگل پلی هدف قرار می‌دهد، کشف شد.

در تاریخ 26 ژوئن، کارشناسان کسپرسکی از کشف یک جاسوس‌افزار جدید به نام SparkKitty خبر دادند که برای حمله به تلفن‌های هوشمند با سیستم عامل‌های iOS و اندروید طراحی شده است و سپس تصاویر و اطلاعات دستگاه را از تلفن‌های آلوده به سرور مهاجم ارسال می‌کند.

SparkKitty در برنامه‌هایی با محتوای مرتبط با ارزهای دیجیتال و قمار و همچنین در نسخه جعلی برنامه TikTok جاسازی شده است. این برنامه‌ها نه تنها از طریق اپ استور و گوگل پلی، بلکه در وب‌سایت‌های فیشینگ نیز توزیع می‌شوند.

طبق تحلیل کارشناسان، هدف این کمپین ممکن است سرقت ارز دیجیتال از کاربران در جنوب شرقی آسیا و چین باشد. کاربران در ویتنام نیز در معرض خطر تهدید مشابهی قرار دارند.

کسپرسکی به گوگل و اپل اطلاع داده است که برنامه‌های مخرب فوق‌الذکر را برطرف کنند. برخی جزئیات فنی نشان می‌دهد که این کمپین حمله جدید مربوط به SparkCat است - یک تروجان که قبلاً شناسایی شده است. SparkCat اولین بدافزار در پلتفرم iOS است که دارای یک ماژول تشخیص کاراکتر نوری (OCR) یکپارچه برای اسکن کتابخانه‌های عکس کاربران و سرقت تصاویر حاوی رمزهای عبور یا عبارات بازیابی کیف پول ارز دیجیتال است.

پس از SparkCat، این دومین بار در سال جاری است که محققان کسپرسکی بدافزار تروجان‌دزدی را در اپ استور شناسایی کرده‌اند.

در اپ استور، این بدافزار تروجان به عنوان یک برنامه مرتبط با ارز دیجیتال به نام 币coin ظاهر می‌شود. علاوه بر این، در وب‌سایت‌های فیشینگ که برای تقلید از رابط کاربری اپ استور آیفون طراحی شده‌اند، مجرمان سایبری این بدافزار را تحت پوشش TikTok و برخی بازی‌های قمار توزیع می‌کنند.

anh-kaspersky-2-kaspersky-has-discovered-sparkkitty-a-new-trojan-spy-on-app-store-and-google-playjpg.png — 币coin، یک اپلیکیشن جعلی صرافی ارز دیجیتال، در اپ استور ظاهر شده است. (تصویر از صفحه)

anh-kaspersky-3-kaspersky-has-discovered-sparkkitty-a-new-trojan-spy-on-app-store-and-google-playjpg.png — یک وب‌سایت جعلی اپ استور ایجاد شده بود تا کاربران را از طریق ابزارهای توسعه‌دهندگان به نصب برنامه تیک‌تاک ترغیب کند. (تصویر صفحه)

anh-kaspersky-4-kaspersky-has-discovered-sparkkitty-a-new-trojan-spy-on-app-store-and-google-playjpg.png — یک فروشگاه آنلاین جعلی در یک برنامه جعلی TikTok جاسازی شده بود. (تصویر صفحه)

سرگئی پوزان، تحلیلگر بدافزار در کسپرسکی، اظهار داشت: «وب‌سایت‌های جعلی یکی از رایج‌ترین کانال‌ها برای توزیع بدافزار تروجان هستند، جایی که هکرها سعی می‌کنند کاربران را برای دسترسی و نصب نرم‌افزارهای مخرب روی آیفون‌هایشان فریب دهند. در سیستم عامل iOS، هنوز روش‌های قانونی برای کاربران وجود دارد تا برنامه‌ها را از خارج از اپ استور نصب کنند. در این حمله، هکرها از یک ابزار توسعه‌دهنده - که برای نصب برنامه‌ها به صورت داخلی در داخل کسب‌وکارها طراحی شده است - سوءاستفاده کردند. در نسخه آلوده TikTok، بلافاصله پس از ورود کاربر، بدافزار عکس‌ها را از گالری گوشی دزدید و مخفیانه یک لینک عجیب را در صفحه پروفایل قربانی قرار داد. نکته نگران‌کننده این است که این لینک به فروشگاهی منتهی می‌شود که فقط پرداخت‌های ارز دیجیتال را می‌پذیرد و نگرانی‌های ما را در مورد این کمپین بیشتر می‌کند.»

در سیستم عامل اندروید، مهاجمان با پنهان کردن بدافزار به عنوان سرویس‌های مرتبط با ارزهای دیجیتال، کاربران را در گوگل پلی و وب‌سایت‌های شخص ثالث هدف قرار می‌دهند. یک نمونه از برنامه‌های آلوده، SOEX است - یک برنامه پیام‌رسان با قابلیت معاملات ارزهای دیجیتال که بیش از 10،000 دانلود از فروشگاه رسمی خود دارد.

anh-kaspersky-5-kaspersky-has-discovered-sparkkitty-a-new-trojan-spy-on-app-store-and-google-playjpg.png — اپلیکیشن جعلی صرافی ارز دیجیتال SOEX در گوگل پلی. (تصویر از صفحه)

علاوه بر این، کارشناسان همچنین فایل‌های APK (فایل‌های نصب برنامه‌های اندروید که می‌توانند مستقیماً بدون مراجعه به گوگل پلی نصب شوند) این برنامه‌های آلوده را در وب‌سایت‌های شخص ثالث کشف کردند که گمان می‌رود مربوط به کمپین حمله مذکور باشند.

این برنامه‌ها به عنوان پروژه‌های سرمایه‌گذاری ارز دیجیتال تبلیغ می‌شوند. نکته قابل توجه این است که وب‌سایت‌های توزیع‌کننده این برنامه‌ها نیز به طور گسترده در رسانه‌های اجتماعی، از جمله یوتیوب، تبلیغ می‌شوند.

دیمیتری کالینین، تحلیلگر بدافزار در کسپرسکی، اظهار داشت: «پس از نصب، این برنامه‌ها همانطور که در ابتدا توضیح داده شد، عمل می‌کنند. با این حال، در حین نصب، آنها بی‌سروصدا به دستگاه نفوذ کرده و به طور خودکار تصاویر را از گالری قربانی به مهاجم ارسال می‌کنند. این تصاویر ممکن است حاوی اطلاعات حساسی باشند که هکرها به دنبال آن هستند، مانند کدهای بازیابی کیف پول ارزهای دیجیتال، که به آنها اجازه می‌دهد دارایی‌های دیجیتال قربانی را بدزدند. نشانه‌های غیرمستقیم زیادی وجود دارد که نشان می‌دهد این گروه مهاجم دارایی‌های دیجیتال کاربران را هدف قرار می‌دهد: بسیاری از برنامه‌های آلوده مربوط به ارزهای دیجیتال هستند و نسخه آلوده به بدافزار TikTok همچنین فروشگاهی را در خود جای داده است که فقط پرداخت‌های ارزهای دیجیتال را می‌پذیرد.»

برای جلوگیری از قربانی شدن این بدافزار، کسپرسکی به کاربران توصیه می‌کند اقدامات ایمنی زیر را انجام دهند:

- اگر به طور تصادفی یکی از برنامه‌های آلوده را نصب کرده‌اید، سریعاً آن را از دستگاه خود حذف کنید و تا زمان انتشار به‌روزرسانی رسمی برای حذف کامل ویژگی‌های مخرب، دیگر از آن استفاده نکنید.

- از ذخیره اسکرین‌شات‌های حاوی اطلاعات حساس در کتابخانه عکس خود، به ویژه تصاویری که حاوی کدهای بازیابی کیف پول ارزهای دیجیتال هستند، خودداری کنید. در عوض، کاربران می‌توانند اطلاعات ورود به سیستم را در برنامه‌های مدیریت رمز عبور اختصاصی ذخیره کنند.

- برای جلوگیری از خطر آلودگی به بدافزار، نرم‌افزار امنیتی قابل اعتمادی نصب کنید. برای سیستم عامل iOS با معماری امنیتی منحصر به فرد خود، راهکار کسپرسکی در صورت تشخیص انتقال داده‌ها توسط دستگاه به سرور فرمان و کنترل هکر، به شما هشدار می‌دهد و این انتقال داده‌ها را مسدود می‌کند.

- وقتی یک برنامه درخواست دسترسی به کتابخانه عکس را می‌دهد، کاربران باید با دقت بررسی کنند که آیا این اجازه واقعاً برای عملکرد اصلی برنامه ضروری است یا خیر.

(ویتنام+)

منبع: https://www.vietnamplus.vn/phat-hien-phan-mem-gian-diep-moi-nham-vao-nguoi-tren-app-store-va-google-play-post1046585.vnp