جاسوس‌افزار جدیدی که افراد کشف‌شده در اپ استور و گوگل پلی را هدف قرار می‌دهد

در تاریخ ۲۶ ژوئن، کارشناسان کسپرسکی اعلام کردند که یک جاسوس‌افزار جدید به نام SparkKitty را کشف کرده‌اند که برای حمله به تلفن‌های هوشمند با سیستم عامل‌های iOS و اندروید طراحی شده است و سپس تصاویر و اطلاعات دستگاه را از تلفن‌های آلوده به سرور مهاجم ارسال می‌کند.

SparkKitty در برنامه‌هایی با محتوای مرتبط با ارزهای دیجیتال، قمار و همچنین در نسخه جعلی برنامه TikTok جاسازی شده بود. این برنامه‌ها نه تنها از طریق اپ استور و گوگل پلی، بلکه در وب‌سایت‌های کلاهبرداری نیز توزیع می‌شدند.

طبق تحلیل کارشناسان، هدف این کمپین ممکن است سرقت ارز دیجیتال از کاربران در جنوب شرقی آسیا و چین باشد. کاربران در ویتنام نیز در معرض خطر مواجهه با تهدیدات مشابه هستند.

کسپرسکی به گوگل و اپل اطلاع داده است که علیه برنامه‌های مخرب اقدام کنند. برخی جزئیات فنی نشان می‌دهد که این کمپین جدید با SparkCat، تروجانی که قبلاً کشف شده بود، مرتبط است. SparkCat اولین بدافزار در پلتفرم iOS است که دارای یک ماژول تشخیص کاراکتر نوری (OCR) داخلی است که کتابخانه‌های عکس کاربران را اسکن می‌کند و اسکرین‌شات‌های حاوی رمزهای عبور یا عبارات بازیابی برای کیف پول‌های ارز دیجیتال را می‌دزدد.

پس از SparkCat، این دومین بار در سال جاری است که محققان کسپرسکی یک تروجان سارق اطلاعات را در اپ استور کشف کرده‌اند.

در اپ استور، این بدافزار تروجان خود را به عنوان یک برنامه مرتبط با ارزهای دیجیتال به نام 币coin جا زده است. علاوه بر این، در وب‌سایت‌های جعلی که برای تقلید از رابط کاربری اپ استور آیفون طراحی شده‌اند، مجرمان سایبری نیز این بدافزار را تحت پوشش برنامه TikTok و برخی بازی‌های شرط‌بندی منتشر می‌کنند.

anh-kaspersky-2-kaspersky-has-discovered-sparkkitty-a-new-trojan-spy-on-app-store-and-google-playjpg.png — 币coin، یک برنامه صرافی ارز دیجیتال جعلی در اپ استور ظاهر شد. (تصویر از صفحه)

anh-kaspersky-3-kaspersky-has-discovered-sparkkitty-a-new-trojan-spy-on-app-store-and-google-playjpg.png — یک وب‌سایت جعلی اپ استور که سعی می‌کند کاربران را از طریق ابزار توسعه‌دهنده برای نصب برنامه تیک‌تاک فریب دهد. (تصویر صفحه)

anh-kaspersky-4-kaspersky-has-discovered-sparkkitty-a-new-trojan-spy-on-app-store-and-google-playjpg.png — یک فروشگاه آنلاین جعلی که در یک برنامه جعلی TikTok جاسازی شده است. (تصویر از صفحه)

سرگئی پوزان، تحلیلگر بدافزار در کسپرسکی، گفت: «وب‌سایت‌های جعلی یکی از محبوب‌ترین کانال‌های توزیع تروجان‌ها هستند که در آن‌ها هکرها سعی می‌کنند کاربران را برای بازدید و نصب بدافزار روی آیفون‌ها فریب دهند. در iOS، هنوز راه‌های قانونی برای کاربران وجود دارد تا برنامه‌ها را از خارج از اپ استور نصب کنند. در این حمله، هکرها از یک ابزار توسعه‌دهنده که برای نصب برنامه‌های داخلی در کسب‌وکارها طراحی شده است، استفاده کردند. در نسخه آلوده TikTok، به محض ورود کاربر، بدافزار عکس‌ها را از گالری گوشی می‌دزدد و مخفیانه یک لینک عجیب را در صفحه شخصی قربانی قرار می‌دهد. نکته نگران‌کننده این است که این لینک به فروشگاهی منتهی می‌شود که فقط پرداخت‌های ارز دیجیتال را می‌پذیرد، که ما را بیش از پیش نگران این کمپین می‌کند.»

در اندروید، مهاجمان با پنهان کردن بدافزار به عنوان سرویس‌های مرتبط با ارزهای دیجیتال، کاربران را در گوگل پلی و وب‌سایت‌های شخص ثالث هدف قرار دادند. یکی از نمونه‌های برنامه آلوده، SOEX است، یک برنامه پیام‌رسان با قابلیت معاملات ارزهای دیجیتال داخلی که بیش از 10،000 دانلود از فروشگاه رسمی داشته است.

anh-kaspersky-5-kaspersky-has-discovered-sparkkitty-a-new-trojan-spy-on-app-store-and-google-playjpg.png — اپلیکیشن جعلی صرافی ارز دیجیتال SOEX در گوگل پلی. (تصویر از صفحه)

علاوه بر این، کارشناسان فایل‌های APK (فایل‌های نصب برنامه‌های اندروید که می‌توانند مستقیماً بدون مراجعه به گوگل پلی نصب شوند) این برنامه‌های آلوده به بدافزار را در وب‌سایت‌های شخص ثالث کشف کردند که گمان می‌رود مربوط به کمپین حمله فوق باشند.

این برنامه‌ها تحت پوشش پروژه‌های سرمایه‌گذاری ارز دیجیتال تبلیغ می‌شوند. نکته قابل توجه این است که وب‌سایت‌هایی که این برنامه‌ها را توزیع می‌کنند، به طور گسترده در شبکه‌های اجتماعی از جمله یوتیوب نیز تبلیغ می‌شوند.

دیمیتری کالینین، تحلیلگر بدافزار در کسپرسکی، گفت: «پس از نصب، برنامه‌ها مطابق توضیحات عمل می‌کنند. با این حال، در حین نصب، آنها بی‌سروصدا به دستگاه نفوذ کرده و به‌طور خودکار تصاویر را از گالری قربانی برای مهاجم ارسال می‌کنند. این تصاویر ممکن است حاوی اطلاعات حساسی باشند که هکرها به دنبال آن هستند، مانند اسکریپت‌های بازیابی کیف پول ارز دیجیتال که به آنها اجازه می‌دهد دارایی‌های دیجیتال قربانی را بدزدند.» «نشانه‌های غیرمستقیمی وجود دارد که مهاجمان به دنبال دارایی‌های دیجیتال کاربران هستند: بسیاری از برنامه‌های آلوده مربوط به ارزهای دیجیتال هستند و نسخه آلوده TikTok همچنین شامل فروشگاهی است که فقط پرداخت‌های ارز دیجیتال را می‌پذیرد.»

برای جلوگیری از قربانی شدن در برابر این بدافزار، کسپرسکی به کاربران توصیه می‌کند اقدامات ایمنی زیر را انجام دهند:

- اگر به طور تصادفی یکی از برنامه‌های آلوده را نصب کرده‌اید، سریعاً برنامه را از دستگاه خود حذف کنید و تا زمانی که به‌روزرسانی رسمی برای حذف کامل ویژگی مخرب منتشر نشده است، دوباره از آن استفاده نکنید.

- از ذخیره اسکرین‌شات‌های حاوی اطلاعات حساس در کتابخانه عکس خود، به ویژه تصاویری که حاوی کدهای بازیابی کیف پول ارزهای دیجیتال هستند، خودداری کنید. در عوض، کاربران می‌توانند اطلاعات ورود به سیستم را در برنامه‌های مدیریت رمز عبور اختصاصی ذخیره کنند.

- برای جلوگیری از خطر آلودگی به بدافزار، نرم‌افزار امنیتی قابل اعتمادی نصب کنید. برای سیستم عامل‌های iOS با معماری امنیتی منحصر به فرد خود، راهکار کسپرسکی در صورت شناسایی دستگاهی که در حال انتقال داده به سرور کنترل هکر است، هشدار می‌دهد و این فرآیند انتقال داده را مسدود می‌کند.

- وقتی یک برنامه درخواست دسترسی به کتابخانه عکس را می‌دهد، کاربران باید با دقت بررسی کنند که آیا این اجازه واقعاً برای عملکرد اصلی برنامه ضروری است یا خیر./.

(ویتنام+)

منبع: https://www.vietnamplus.vn/phat-hien-phan-mem-gian-diep-moi-nham-vao-nguoi-tren-app-store-va-google-play-post1046585.vnp