Ny spionvare rettet mot folk oppdaget i App Store og Google Play

26. juni annonserte eksperter fra Kaspersky at de hadde oppdaget et nytt spionprogram kalt SparkKitty, designet for å angripe smarttelefoner som bruker iOS- og Android-operativsystemer, og deretter sende bilder og enhetsinformasjon fra infiserte telefoner til angriperens server.

SparkKitty var innebygd i apper med kryptovaluta- og gamblingrelatert innhold, samt i en falsk versjon av TikTok-appen. Disse appene ble distribuert ikke bare via App Store og Google Play, men også på svindelnettsteder.

Ifølge ekspertanalyser kan målet med denne kampanjen være å stjele kryptovalutaer fra brukere i Sørøst-Asia og Kina. Brukere i Vietnam risikerer også å møte lignende trusler.

Kaspersky har varslet Google og Apple om å iverksette tiltak mot de skadelige appene. Noen tekniske detaljer tyder på at den nye kampanjen er knyttet til SparkCat, en trojaner som tidligere er oppdaget. SparkCat er den første skadelige programvaren på iOS-plattformen som har en innebygd modul for optisk tegngjenkjenning (OCR) som skanner en brukers bildebibliotek og stjeler skjermbilder som inneholder passord eller gjenopprettingsfraser for kryptovaluta-lommebøker.

Etter SparkCat er dette andre gang i år at Kaspersky-forskere har oppdaget en trojansk stjeler i App Store.

På App Store er denne trojaneren forkledd som en kryptovalutarelatert applikasjon kalt 币coin. I tillegg sprer nettkriminelle denne skadevaren under dekke av TikTok-applikasjonen og noen spill på falske nettsteder som er utformet for å etterligne iPhone App Store-grensesnittet.

«Falske nettsteder er en av de mest populære kanalene for distribusjon av trojanere, der hackere prøver å lure brukere til å besøke og installere skadelig programvare på iPhones. På iOS finnes det fortsatt noen legitime måter for brukere å installere apper utenfra App Store. I denne angrepskampanjen utnyttet hackere et utviklerverktøy som er utviklet for å installere interne apper i bedrifter. I den infiserte versjonen av TikTok, så snart brukeren logger seg inn, stjeler skadelig programvare bilder fra telefonens galleri og setter i hemmelighet inn en merkelig lenke i offerets profil. Det som er bekymringsfullt er at denne lenken fører til en butikk som bare godtar kryptovalutabetalinger, noe som gjør oss enda mer bekymret for denne kampanjen», sa Sergey Puzan, skadevareanalytiker hos Kaspersky.

På Android angrep angriperne brukere både på Google Play og tredjepartsnettsteder, og kamuflerte skadevaren som kryptovalutarelaterte tjenester. Et eksempel på en infisert app er SOEX, en meldingsapp med innebygd funksjonalitet for kryptovalutahandel, med over 10 000 nedlastinger fra den offisielle butikken.

I tillegg oppdaget eksperter også APK-filer (installasjonsfiler for Android-applikasjoner, som kan installeres direkte uten å gå via Google Play) av disse malware-infiserte applikasjonene på tredjepartsnettsteder, som antas å være relatert til angrepskampanjen ovenfor.

Disse appene markedsføres under dekke av kryptovalutainvesteringsprosjekter. Det er verdt å merke seg at nettstedene som distribuerer appene også markedsføres mye på sosiale nettverk, inkludert YouTube.

«Når appene er installert, fungerer de som beskrevet», sa Dmitrij Kalinin, en skadevareanalytiker hos Kaspersky. «Under installasjonen infiltrerer de imidlertid enheten i stillhet og sender automatisk bilder fra offerets galleri til angriperen. Disse bildene kan inneholde sensitiv informasjon som angriperne leter etter, for eksempel gjenopprettingsskript for kryptolommebøker, slik at de kan stjele offerets digitale eiendeler. Det finnes indirekte tegn på at angriperne er ute etter brukernes digitale eiendeler: mange av de infiserte appene er relatert til kryptovalutaer, og den infiserte versjonen av TikTok inkluderer også en butikk som bare godtar kryptovalutabetalinger.»

For å unngå å bli offer for denne skadelige programvaren, anbefaler Kaspersky at brukere tar følgende sikkerhetstiltak:

– Hvis du ved et uhell har installert en av de infiserte applikasjonene, må du raskt fjerne applikasjonen fra enheten din og ikke bruke den igjen før det kommer en offisiell oppdatering som fjerner den skadelige funksjonen fullstendig.

– Unngå å lagre skjermbilder som inneholder sensitiv informasjon i bildebiblioteket ditt, spesielt bilder som inneholder gjenopprettingskoder for kryptovalutalommebøker. Brukere kan i stedet lagre innloggingsinformasjon i dedikerte applikasjoner for passordhåndtering.

– Installer pålitelig sikkerhetsprogramvare for å forhindre risikoen for skadelig programvareinfeksjon. For iOS-operativsystemer med spesifikk sikkerhetsarkitektur vil Kasperskys løsning advare hvis den oppdager at enheten overfører data til hackerens kontrollserver, og blokkere denne dataoverføringsprosessen.

– Når et program ber om tilgang til bildebiblioteket, bør brukere nøye vurdere om denne tillatelsen virkelig er nødvendig for programmets hovedfunksjon.

Kilde: https://www.vietnamplus.vn/phat-hien-phan-mem-gian-diep-moi-nham-vao-nguoi-tren-app-store-va-google-play-post1046585.vnp