Új kémprogramokat fedeztek fel az App Store-ban és a Google Playen, amelyek embereket céloznak meg

Június 26-án a Kaspersky szakértői bejelentették, hogy felfedeztek egy új kémprogramot, a SparkKitty-t, amely iOS és Android operációs rendszereket használó okostelefonok megtámadására szolgál, majd képeket és eszközinformációkat küld a fertőzött telefonokról a támadó szerverére.

A SparkKitty-t kriptovalutákkal és szerencsejátékokkal kapcsolatos tartalmú alkalmazásokba, valamint a TikTok alkalmazás egy hamis verziójába ágyazták be. Ezeket az alkalmazásokat nemcsak az App Store-on és a Google Playen, hanem csalárd weboldalakon is terjesztették.

Szakértői elemzések szerint a kampány célja a délkelet-ázsiai és kínai felhasználók kriptovalutáinak ellopása lehet. A vietnami felhasználók is hasonló fenyegetésekkel nézhetnek szembe.

A Kaspersky értesítette a Google-t és az Apple-t, hogy tegyenek lépéseket a rosszindulatú alkalmazások ellen. Egyes technikai részletek arra utalnak, hogy az új kampány a korábban felfedezett trójai vírushoz, a SparkCathez kapcsolódik. A SparkCat az első olyan rosszindulatú program az iOS platformon, amely beépített optikai karakterfelismerő (OCR) modullal rendelkezik, amely beolvassa a felhasználó fotókönyvtárát, és ellopja a kriptovaluta-tárcák jelszavait vagy helyreállítási kifejezéseit tartalmazó képernyőképeket.

A SparkCat után idén ez már a második alkalom, hogy a Kaspersky kutatói trójai vírustolvajt fedeztek fel az App Store-ban.

Az App Store-ban ez a trójai rosszindulatú program egy 币coin nevű kriptovalutával kapcsolatos alkalmazásnak álcázva van. Ezenkívül a kiberbűnözők az iPhone App Store felületét utánzó csalárd weboldalakon is terjesztik ezt a rosszindulatú programot a TikTok alkalmazás és néhány fogadási játék álcája alatt.

„A hamis weboldalak a trójai programok terjesztésének egyik legnépszerűbb csatornái, ahol a hackerek megpróbálják rávenni a felhasználókat, hogy látogassanak el ide és telepítsenek rosszindulatú programokat iPhone-okra. iOS rendszeren továbbra is vannak legitim módszerek a felhasználók számára az App Store-on kívüli alkalmazások telepítésére. Ebben a támadási kampányban a hackerek egy olyan fejlesztői eszközt használtak ki, amelyet belső alkalmazások telepítésére terveztek a vállalkozásokban. A TikTok fertőzött verziójában, amint a felhasználó bejelentkezik, a rosszindulatú program ellopja a fényképeket a telefon galériájából, és titokban egy furcsa linket illeszt be az áldozat profiljába. Ami aggasztó, hogy ez a link egy olyan áruházba vezet, amely csak kriptovalutás fizetéseket fogad el, ami még jobban aggaszt minket ezzel a kampánnyal kapcsolatban” – mondta Szergej Puzan, a Kaspersky rosszindulatú program-elemzője.

Android rendszeren a támadók a Google Play és harmadik féltől származó webhelyek felhasználóit is célozták meg, a rosszindulatú programot kriptovalutákkal kapcsolatos szolgáltatásoknak álcázva. A fertőzött alkalmazások egyik példája a SOEX, egy beépített kriptovaluta-kereskedési funkcióval rendelkező üzenetküldő alkalmazás, amelynek hivatalos áruházából több mint 10 000 letöltés történt.

Ezenkívül a szakértők harmadik fél weboldalain felfedezték a kártevővel fertőzött alkalmazások APK fájljait (Android alkalmazástelepítő fájlok, amelyek közvetlenül a Google Playen keresztül telepíthetők), amelyekről úgy vélik, hogy összefüggésben állnak a fenti támadási kampánnyal.

Ezeket az alkalmazásokat kriptovaluta befektetési projektek álcája alatt népszerűsítik. Figyelemre méltó, hogy az alkalmazásokat terjesztő weboldalakat széles körben népszerűsítik a közösségi hálózatokon, többek között a YouTube-on is.

„A telepítés után az alkalmazások a leírtaknak megfelelően működnek” – mondta Dmitrij Kalinyin, a Kaspersky kártevő-elemzője. „A telepítés során azonban csendben beszivárognak az eszközbe, és automatikusan képeket küldenek az áldozat galériájából a támadónak. Ezek a képek tartalmazhatnak olyan érzékeny információkat, amelyeket a támadók keresnek, például kriptovaluta-tárca-helyreállító szkripteket, amelyek lehetővé teszik számukra az áldozat digitális eszközeinek ellopását. Közvetett jelek arra utalnak, hogy a támadók a felhasználók digitális eszközeire vadásznak: a fertőzött alkalmazások közül sok kriptovalutákkal kapcsolatos, és a TikTok fertőzött verziója egy olyan áruházat is tartalmaz, amely csak kriptovalutás fizetéseket fogad el.”

A Kaspersky a következő biztonsági intézkedések megtételét javasolja a felhasználóknak, hogy elkerüljék a kártevő áldozatává válást:

– Ha véletlenül telepített egy fertőzött alkalmazást, gyorsan távolítsa el az alkalmazást az eszközéről, és ne használja újra, amíg nem jelenik meg egy hivatalos frissítés a rosszindulatú funkció teljes eltávolítására.

– Kerülje az érzékeny információkat tartalmazó képernyőképek, különösen a kriptovaluta-tárca-helyreállítási kódokat tartalmazó képek tárolását a fotókönyvtárában. Ehelyett a felhasználók a bejelentkezési adatokat dedikált jelszókezelő alkalmazásokban tárolhatják.

- Telepítsen megbízható biztonsági szoftvert a kártevőfertőzés kockázatának megelőzése érdekében. Speciális biztonsági architektúrával rendelkező iOS operációs rendszerek esetén a Kaspersky megoldása figyelmeztet, ha azt észleli, hogy az eszköz adatokat küld a hacker vezérlőszerverére, és blokkolja ezt az adatátviteli folyamatot.

- Amikor egy alkalmazás hozzáférést kér a fotókönyvtárhoz, a felhasználóknak gondosan mérlegelniük kell, hogy ez az engedély valóban szükséges-e az alkalmazás fő funkciójához./.

Forrás: https://www.vietnamplus.vn/phat-hien-phan-mem-gian-diep-moi-nham-vao-nguoi-tren-app-store-va-google-play-post1046585.vnp