Le 26 juin, des experts de Kaspersky ont annoncé avoir découvert un nouveau logiciel espion appelé SparkKitty, conçu pour attaquer les smartphones utilisant les systèmes d'exploitation iOS et Android, puis envoyer des images et des informations sur l'appareil à partir des téléphones infectés vers le serveur de l'attaquant.
SparkKitty était intégré à des applications dont le contenu était lié aux cryptomonnaies, aux jeux d'argent, ainsi qu'à une fausse version de l'application TikTok. Ces applications étaient distribuées non seulement via l'App Store et Google Play, mais aussi sur des sites web frauduleux.
D'après l'analyse des experts, cette campagne pourrait viser à voler des cryptomonnaies aux utilisateurs d'Asie du Sud-Est et de Chine. Les utilisateurs vietnamiens sont également exposés à des menaces similaires.
Kaspersky a alerté Google et Apple afin qu'ils prennent des mesures contre les applications malveillantes. Certains éléments techniques laissent penser que cette nouvelle campagne est liée à SparkCat, un cheval de Troie déjà découvert. SparkCat est le premier logiciel malveillant sur la plateforme iOS doté d'un module de reconnaissance optique de caractères (OCR) intégré, capable d'analyser les photothèques des utilisateurs et de dérober des captures d'écran contenant des mots de passe ou des phrases de récupération pour les portefeuilles de cryptomonnaies.
Après SparkCat, c'est la deuxième fois cette année que les chercheurs de Kaspersky découvrent un cheval de Troie voleur d'applications sur l'App Store.
Sur l'App Store, ce cheval de Troie est dissimulé sous l'apparence d'une application liée aux cryptomonnaies appelée 币coin. De plus, sur des sites web frauduleux imitant l'interface de l'App Store d'iPhone, les cybercriminels diffusent également ce logiciel malveillant en le faisant passer pour l'application TikTok et certains jeux de paris.
« Les faux sites web constituent l'un des vecteurs les plus utilisés pour la diffusion de chevaux de Troie. Les pirates informatiques tentent d'inciter les utilisateurs à visiter ces sites et à installer des logiciels malveillants sur leurs iPhones. Sur iOS, il existe encore des moyens légitimes d'installer des applications provenant de sources autres que l'App Store. Dans cette attaque, les pirates ont exploité un outil de développement conçu pour installer des applications internes aux entreprises. Dans la version infectée de TikTok, dès que l'utilisateur se connecte, le logiciel malveillant vole des photos dans la galerie du téléphone et insère subrepticement un lien suspect sur la page personnelle de la victime. Ce qui est particulièrement inquiétant, c'est que ce lien redirige vers une boutique qui n'accepte que les paiements en cryptomonnaie, ce qui renforce notre inquiétude quant à cette campagne », a déclaré Sergey Puzan, analyste de logiciels malveillants chez Kaspersky.
Sur Android, les pirates ont ciblé les utilisateurs sur Google Play et des sites web tiers en dissimulant le logiciel malveillant sous l'apparence de services liés aux cryptomonnaies. SOEX, une application de messagerie intégrant une fonctionnalité de trading de cryptomonnaies, a été infectée plus de 10 000 fois depuis la boutique officielle.
De plus, les experts ont également découvert des fichiers APK (fichiers d'installation d'applications Android, qui peuvent être installés directement sans passer par Google Play) de ces applications infectées par des logiciels malveillants sur des sites Web tiers, que l'on pense liés à la campagne d'attaques susmentionnée.
Ces applications sont présentées comme des projets d'investissement en cryptomonnaies. Il est à noter que les sites web qui les distribuent bénéficient également d'une large promotion sur les réseaux sociaux, notamment YouTube.
« Une fois installées, les applications fonctionnent comme prévu. Cependant, lors de l'installation, elles s'infiltrent discrètement dans l'appareil et envoient automatiquement des images de la galerie de la victime à l'attaquant. Ces images peuvent contenir des informations sensibles recherchées par les pirates, comme des scripts de récupération de portefeuilles de cryptomonnaies, leur permettant ainsi de voler les actifs numériques de la victime », explique Dmitry Kalinin, analyste de logiciels malveillants chez Kaspersky. « Certains indices laissent penser que les attaquants ciblent les actifs numériques des utilisateurs : nombre des applications infectées sont liées aux cryptomonnaies, et la version infectée de TikTok inclut également une boutique qui n'accepte que les paiements en cryptomonnaies. »
Pour éviter d'être victime de ce logiciel malveillant, Kaspersky recommande aux utilisateurs de prendre les mesures de sécurité suivantes :
- Si vous avez installé par erreur l'une des applications infectées, supprimez-la rapidement de votre appareil et ne l'utilisez plus jusqu'à ce qu'une mise à jour officielle supprime complètement la fonctionnalité malveillante.
Évitez de stocker dans votre photothèque des captures d'écran contenant des informations sensibles, notamment celles incluant des codes de récupération de portefeuilles de cryptomonnaies. Il est plutôt recommandé d'utiliser des applications de gestion de mots de passe dédiées pour stocker vos identifiants.
Installez un logiciel de sécurité fiable pour vous protéger contre les risques d'infection par des logiciels malveillants. Pour les systèmes d'exploitation iOS, dont l'architecture de sécurité est spécifique, la solution Kaspersky vous avertit si elle détecte qu'un appareil transmet des données à un serveur de contrôle pirate et bloque cette transmission.
- Lorsqu'une application demande l'accès à la photothèque, les utilisateurs doivent examiner attentivement si cette autorisation est réellement nécessaire au fonctionnement principal de l'application.
Source : https://www.vietnamplus.vn/phat-hien-phan-mem-gian-diep-moi-nham-vao-nguoi-tren-app-store-va-google-play-post1046585.vnp
Comment (0)