Nieuwe spyware ontdekt in App Store en Google Play die op mensen is gericht

Op 26 juni maakten experts van Kaspersky bekend dat ze een nieuwe spyware hadden ontdekt, genaamd SparkKitty. Deze is ontworpen om smartphones met iOS- en Android-besturingssystemen aan te vallen en vervolgens afbeeldingen en apparaatgegevens van geïnfecteerde telefoons naar de server van de aanvaller te sturen.

SparkKitty was ingebed in apps met content over cryptovaluta en gokken, en in een nepversie van de TikTok-app. Deze apps werden niet alleen verspreid via de App Store en Google Play, maar ook via frauduleuze websites.

Volgens analyses van experts zou deze campagne tot doel kunnen hebben cryptovaluta te stelen van gebruikers in Zuidoost-Azië en China. Ook gebruikers in Vietnam lopen het risico met soortgelijke bedreigingen te worden geconfronteerd.

Kaspersky heeft Google en Apple op de hoogte gesteld actie te ondernemen tegen de kwaadaardige apps. Sommige technische details suggereren dat de nieuwe campagne verband houdt met SparkCat, een eerder ontdekte trojan. SparkCat is de eerste malware op het iOS-platform met een ingebouwde module voor optische tekenherkenning (OCR) die de fotobibliotheek van een gebruiker scant en screenshots steelt met wachtwoorden of herstelzinnen voor cryptovalutawallets.

Na SparkCat is dit de tweede keer dit jaar dat onderzoekers van Kaspersky een Trojan-stealer in de App Store hebben ontdekt.

In de App Store is deze Trojan-malware vermomd als een crypto-gerelateerde applicatie genaamd 币coin. Daarnaast verspreiden cybercriminelen deze malware ook op frauduleuze websites die de interface van de iPhone App Store nabootsen, onder de dekmantel van de TikTok-applicatie en enkele gokspellen.

Nepwebsites zijn een van de populairste kanalen voor het verspreiden van Trojaanse paarden, waarbij hackers proberen gebruikers te misleiden om iPhones te bezoeken en daar malware te installeren. Op iOS zijn er nog steeds legitieme manieren waarop gebruikers apps van buiten de App Store kunnen installeren. In deze aanvalscampagne maakten hackers gebruik van een ontwikkelaarstool die is ontworpen om interne apps in bedrijven te installeren. In de geïnfecteerde versie van TikTok steelt de malware, zodra de gebruiker inlogt, foto's uit de galerij van de telefoon en plaatst stiekem een ​​vreemde link in het profiel van het slachtoffer. Wat verontrustend is, is dat deze link leidt naar een winkel die alleen cryptobetalingen accepteert, wat ons nog meer zorgen baart over deze campagne", aldus Sergey Puzan, malwareanalist bij Kaspersky.

Op Android richtten aanvallers zich op gebruikers van zowel Google Play als websites van derden, waarbij ze de malware vermomden als cryptovaluta-gerelateerde diensten. Een voorbeeld van een geïnfecteerde app is SOEX, een berichten-app met ingebouwde functionaliteit voor cryptovalutahandel, die meer dan 10.000 keer is gedownload in de officiële winkel.

Daarnaast ontdekten experts ook APK-bestanden (installatiebestanden voor Android-applicaties, die rechtstreeks geïnstalleerd kunnen worden zonder tussenkomst van Google Play) van deze met malware geïnfecteerde applicaties op websites van derden. Men vermoedt dat deze bestanden verband houden met de bovengenoemde aanvalscampagne.

Deze apps worden gepromoot onder het mom van investeringsprojecten in cryptovaluta. Opvallend is dat de websites die de apps distribueren ook op grote schaal worden gepromoot op sociale netwerken, waaronder YouTube.

"Na installatie werken de apps zoals beschreven", aldus Dmitry Kalinin, malware-analist bij Kaspersky. "Tijdens de installatie infiltreren ze echter ongemerkt het apparaat en sturen ze automatisch afbeeldingen uit de galerij van het slachtoffer naar de aanvaller. Deze afbeeldingen kunnen gevoelige informatie bevatten waar de aanvallers naar op zoek zijn, zoals scripts voor het herstellen van cryptowallets, waarmee ze de digitale activa van het slachtoffer kunnen stelen. Er zijn indirecte aanwijzingen dat de aanvallers op zoek zijn naar de digitale activa van gebruikers: veel van de geïnfecteerde apps zijn gerelateerd aan cryptovaluta, en de geïnfecteerde versie van TikTok bevat ook een winkel die alleen cryptovalutabetalingen accepteert."

Om te voorkomen dat u slachtoffer wordt van deze malware, raadt Kaspersky gebruikers aan de volgende veiligheidsmaatregelen te nemen:

- Als u per ongeluk een van de geïnfecteerde applicaties hebt geïnstalleerd, verwijder de applicatie dan zo snel mogelijk van uw apparaat en gebruik deze niet meer totdat er een officiële update beschikbaar is om de schadelijke functie volledig te verwijderen.

- Vermijd het opslaan van screenshots met gevoelige informatie in uw fotobibliotheek, met name afbeeldingen met herstelcodes voor cryptocurrency-wallets. Gebruikers kunnen inloggegevens in plaats daarvan opslaan in speciale wachtwoordbeheerprogramma's.

- Installeer betrouwbare beveiligingssoftware om het risico op malware-infectie te voorkomen. Voor iOS-besturingssystemen met een specifieke beveiligingsarchitectuur waarschuwt Kaspersky's oplossing als het detecteert dat het apparaat gegevens verzendt naar de controleserver van de hacker, en blokkeert deze gegevensoverdracht.

- Wanneer een applicatie toegang vraagt ​​tot de fotobibliotheek, moeten gebruikers zorgvuldig overwegen of deze toestemming echt nodig is voor de hoofdfunctie van de applicatie.

Bron: https://www.vietnamplus.vn/phat-hien-phan-mem-gian-diep-moi-nham-vao-nguoi-tren-app-store-va-google-play-post1046585.vnp