Odkryto nowe oprogramowanie szpiegujące atakujące ludzi w App Store i Google Play

26 czerwca eksperci z firmy Kaspersky ogłosili odkrycie nowego oprogramowania szpiegującego o nazwie SparkKitty, którego celem jest atakowanie smartfonów z systemami operacyjnymi iOS i Android, a następnie wysyłanie obrazów i informacji z zainfekowanych telefonów na serwer atakującego.

SparkKitty był osadzony w aplikacjach z treściami związanymi z kryptowalutami i hazardem, a także w fałszywej wersji aplikacji TikTok. Aplikacje te były dystrybuowane nie tylko za pośrednictwem App Store i Google Play, ale także na fałszywych stronach internetowych.

Według analiz ekspertów, celem tej kampanii może być kradzież kryptowalut od użytkowników z Azji Południowo-Wschodniej i Chin. Użytkownicy w Wietnamie również są narażeni na podobne zagrożenia.

Kaspersky powiadomił Google i Apple o konieczności podjęcia działań przeciwko tym złośliwym aplikacjom. Niektóre szczegóły techniczne sugerują, że nowa kampania jest powiązana ze SparkCat, trojanem odkrytym wcześniej. SparkCat to pierwsze złośliwe oprogramowanie na platformie iOS z wbudowanym modułem optycznego rozpoznawania znaków (OCR), który skanuje bibliotekę zdjęć użytkownika i wykrada zrzuty ekranu zawierające hasła lub frazy odzyskiwania do portfeli kryptowalut.

Po SparkCat, to już drugi w tym roku przypadek, gdy badacze z firmy Kaspersky odkryli trojana kradnącego oprogramowanie w App Store.

W App Store ten trojan podszywa się pod aplikację związaną z kryptowalutą o nazwie 币coin. Ponadto, na fałszywych stronach internetowych imitujących interfejs App Store na iPhone'a, cyberprzestępcy rozprzestrzeniają to złośliwe oprogramowanie również pod przykrywką aplikacji TikTok i niektórych gier bukmacherskich.

„Fałszywe strony internetowe to jeden z najpopularniejszych kanałów dystrybucji trojanów, za pomocą których hakerzy próbują nakłonić użytkowników do odwiedzenia iPhone'ów i zainstalowania na nich złośliwego oprogramowania. W systemie iOS użytkownicy nadal mają kilka legalnych sposobów na instalowanie aplikacji spoza App Store. W tej kampanii ataku hakerzy wykorzystali narzędzie deweloperskie przeznaczone do instalowania wewnętrznych aplikacji w firmach. W zainfekowanej wersji TikToka, gdy tylko użytkownik się zaloguje, złośliwe oprogramowanie kradnie zdjęcia z galerii telefonu i potajemnie umieszcza w profilu ofiary dziwny link. Niepokojące jest to, że link ten prowadzi do sklepu akceptującego wyłącznie płatności kryptowalutami, co jeszcze bardziej nas niepokoi” – powiedział Siergiej Puzan, analityk ds. złośliwego oprogramowania w firmie Kaspersky.

Na Androidzie atakujący atakowali użytkowników zarówno w Google Play, jak i na stronach internetowych osób trzecich, maskując złośliwe oprogramowanie pod postacią usług związanych z kryptowalutami. Jednym z przykładów zainfekowanej aplikacji jest SOEX, komunikator z wbudowaną funkcją handlu kryptowalutami, którego oficjalny sklep pobrano ponad 10 000 razy.

Ponadto eksperci odkryli również pliki APK (pliki instalacyjne aplikacji dla systemu Android, które można zainstalować bezpośrednio, bez korzystania ze sklepu Google Play) tych zainfekowanych złośliwym oprogramowaniem aplikacji na stronach internetowych osób trzecich, które prawdopodobnie mają związek z opisaną powyżej kampanią ataków.

Aplikacje te są promowane pod przykrywką projektów inwestycyjnych w kryptowaluty. Warto zauważyć, że strony internetowe, które je dystrybuują, są również szeroko promowane w mediach społecznościowych, w tym na YouTube.

„Po zainstalowaniu aplikacje działają zgodnie z opisem” – powiedział Dmitrij Kalinin, analityk złośliwego oprogramowania w firmie Kaspersky. „Jednak podczas instalacji po cichu infiltrują urządzenie i automatycznie wysyłają atakującemu obrazy z galerii ofiary. Obrazy te mogą zawierać poufne informacje, których atakujący szukają, takie jak skrypty odzyskiwania portfela kryptowalutowego, co pozwala im ukraść cyfrowe aktywa ofiary. Istnieją pośrednie oznaki, że atakujący polują na cyfrowe aktywa użytkowników: wiele zainfekowanych aplikacji jest powiązanych z kryptowalutami, a zainfekowana wersja TikToka zawiera również sklep akceptujący wyłącznie płatności kryptowalutowe”.

Aby nie paść ofiarą tego złośliwego oprogramowania, firma Kaspersky zaleca użytkownikom podjęcie następujących środków ostrożności:

- Jeśli przypadkowo zainstalowałeś jedną z zainfekowanych aplikacji, natychmiast usuń ją z urządzenia i nie używaj jej ponownie, dopóki nie pojawi się oficjalna aktualizacja, która całkowicie usunie złośliwą funkcję.

- Unikaj przechowywania zrzutów ekranu zawierających poufne informacje w swojej bibliotece zdjęć, zwłaszcza obrazów zawierających kody odzyskiwania portfela kryptowalutowego. Zamiast tego użytkownicy mogą przechowywać dane logowania w dedykowanych aplikacjach do zarządzania hasłami.

- Zainstaluj niezawodne oprogramowanie zabezpieczające, aby zapobiec ryzyku infekcji złośliwym oprogramowaniem. W przypadku systemów operacyjnych iOS o specyficznej architekturze zabezpieczeń, rozwiązanie firmy Kaspersky ostrzeże, jeśli wykryje urządzenie przesyłające dane do serwera sterującego hakera, i zablokuje ten proces transmisji danych.

- Gdy aplikacja żąda dostępu do biblioteki zdjęć, użytkownicy powinni dokładnie rozważyć, czy uprawnienie to jest rzeczywiście niezbędne do realizacji głównej funkcji aplikacji./.

Źródło: https://www.vietnamplus.vn/phat-hien-phan-mem-gian-diep-moi-nham-vao-nguoi-tren-app-store-va-google-play-post1046585.vnp