תוכנות ריגול חדשות המכוונות נגד אנשים התגלו ב-App Store וב-Google Play

ב-26 ביוני, מומחים מקספרסקי הודיעו כי גילו תוכנת ריגול חדשה בשם SparkKitty, שנועדה לתקוף סמארטפונים המשתמשים במערכות ההפעלה iOS ואנדרואיד, ולאחר מכן לשלוח תמונות ומידע על מכשירים מטלפונים נגועים לשרת של התוקף.

SparkKitty הוטמע באפליקציות עם תוכן הקשור למטבעות קריפטוגרפיים והימורים, וכן בגרסה מזויפת של אפליקציית טיקטוק. אפליקציות אלו הופצו לא רק דרך חנות האפליקציות וגוגל פליי, אלא גם באתרי הונאה.

על פי ניתוח מומחים, מטרת הקמפיין עשויה להיות גניבת מטבעות קריפטוגרפיים ממשתמשים בדרום מזרח אסיה ובסין. משתמשים בווייטנאם נמצאים גם הם בסיכון לאיומים דומים.

קספרסקי הודיעה לגוגל ולאפל לנקוט פעולה נגד האפליקציות הזדוניות. מספר פרטים טכניים מצביעים על כך שהקמפיין החדש קשור ל-SparkCat, סוס טרויאני שהתגלה בעבר. SparkCat היא הנוזקה הראשונה בפלטפורמת iOS הכוללת מודול זיהוי תווים אופטי (OCR) מובנה שסורק את ספריית התמונות של המשתמש וגונב צילומי מסך המכילים סיסמאות או ביטויי שחזור עבור ארנקי מטבעות קריפטוגרפיים.

אחרי SparkCat, זו הפעם השנייה השנה שחוקרי קספרסקי גילו סוס טרויאני גונב בחנות האפליקציות.

בחנות האפליקציות, נוזקה טרויאנית זו מוסווית לאפליקציה הקשורה למטבעות קריפטוגרפיים בשם 币coin. בנוסף, באתרי אינטרנט הונאה שנועדו לחקות את ממשק האפליקציות של חנות האפליקציות של האייפון, פושעי סייבר גם הפיצו את הנוזקה הזו במסווה של אפליקציית טיקטוק וכמה משחקי הימורים.

"אתרים מזויפים הם אחד הערוצים הפופולריים ביותר להפצת סוסים טרויאניים, שבהם האקרים מנסים להערים על משתמשים לבקר ולהתקין תוכנות זדוניות באייפונים. ב-iOS, עדיין ישנן כמה דרכים לגיטימיות עבור משתמשים להתקין אפליקציות מחוץ לחנות האפליקציות. בקמפיין מתקפה זה, האקרים ניצלו כלי פיתוח שנועד להתקין אפליקציות פנימיות בעסקים. בגרסה הנגועה של TikTok, ברגע שהמשתמש מתחבר, התוכנה הזדונית גונבת תמונות מגלריית הטלפון ומכניסה בסתר קישור מוזר לפרופיל של הקורבן. מה שמדאיג הוא שקישור זה מוביל לחנות שמקבלת רק תשלומי קריפטו, מה שגורם לנו להיות מודאגים עוד יותר מהקמפיין הזה", אמר סרגיי פוזאן, אנליסט תוכנות זדוניות בקספרסקי.

באנדרואיד, התוקפים כיוונו משתמשים הן ב-Google Play והן באתרי צד שלישי, תוך הסוואת התוכנה הזדונית כשירותים הקשורים לקריפטו. דוגמה לאפליקציה נגועה היא SOEX, אפליקציית מסרים עם פונקציונליות מובנית למסחר בקריפטו, עם למעלה מ-10,000 הורדות מהחנות הרשמית שלה.

בנוסף, מומחים גילו גם קבצי APK (קבצי התקנה של אפליקציות אנדרואיד, שניתן להתקין ישירות מבלי לעבור דרך Google Play) של אפליקציות נגועות בתוכנות זדוניות באתרי צד שלישי, שלפי ההערכה קשורים לקמפיין ההתקפה הנ"ל.

אפליקציות אלו מקודמות תחת מסווה של פרויקטים של השקעה במטבעות קריפטוגרפיים. ראוי לציין כי אתרי האינטרנט המפיצים את האפליקציות מקודמים באופן נרחב גם ברשתות חברתיות, כולל יוטיוב.

"לאחר ההתקנה, האפליקציות פועלות כמתואר", אמר דמיטרי קלינין, אנליסט תוכנות זדוניות בקספרסקי. "עם זאת, במהלך ההתקנה, הן חודרות בשקט למכשיר ושולחות אוטומטית תמונות מגלריית הקורבן לתוקף. תמונות אלו עשויות להכיל מידע רגיש שהתוקפים מחפשים, כגון סקריפטים לשחזור ארנקי קריפטו, המאפשרים להם לגנוב את הנכסים הדיגיטליים של הקורבן. ישנם סימנים עקיפים לכך שהתוקפים רודפים אחר הנכסים הדיגיטליים של המשתמשים: רבות מהאפליקציות הנגועות קשורות למטבעות קריפטוגרפיים, והגרסה הנגועה של טיקטוק כוללת גם חנות שמקבלת רק תשלומים במטבעות קריפטוגרפיים."

כדי להימנע מליפול קורבן לתוכנה זדונית זו, קספרסקי ממליצה למשתמשים לנקוט באמצעי הבטיחות הבאים:

- אם התקנתם בטעות אחת מהאפליקציות הנגועות, הסירו את האפליקציה במהירות מהמכשיר שלכם ואל תשתמשו בה שוב עד שיהיה עדכון רשמי שיסיר לחלוטין את התכונה הזדונית.

- הימנעו מאחסון צילומי מסך המכילים מידע רגיש בספריית התמונות שלכם, במיוחד תמונות המכילות קודי שחזור לארנקי מטבעות קריפטוגרפיים. במקום זאת, משתמשים יכולים לאחסן פרטי התחברות באפליקציות ייעודיות לניהול סיסמאות.

- התקינו תוכנת אבטחה אמינה כדי למנוע את הסיכון להדבקה בתוכנות זדוניות. עבור מערכות הפעלה iOS עם ארכיטקטורת אבטחה ספציפית, הפתרון של קספרסקי יתריע אם הוא יזהה את המכשיר משדר נתונים לשרת הבקרה של ההאקר, ויחסום את תהליך העברת הנתונים הזה.

- כאשר אפליקציה מבקשת גישה לספריית התמונות, על המשתמשים לשקול היטב האם הרשאה זו אכן נחוצה לתפקוד העיקרי של האפליקציה.

מקור: https://www.vietnamplus.vn/phat-hien-phan-mem-gian-diep-moi-nham-vao-nguoi-tren-app-store-va-google-play-post1046585.vnp