Novo spyware direcionado a pessoas descoberto na App Store e no Google Play

Em 26 de junho, especialistas da Kaspersky anunciaram que descobriram um novo spyware chamado SparkKitty, projetado para atacar smartphones usando os sistemas operacionais iOS e Android e, em seguida, enviar imagens e informações do dispositivo infectado para o servidor do invasor.

O SparkKitty foi incorporado em aplicativos com conteúdo relacionado a criptomoedas e jogos de azar, bem como em uma versão falsa do aplicativo TikTok. Esses aplicativos foram distribuídos não apenas pela App Store e Google Play, mas também em sites fraudulentos.

Segundo análises de especialistas, o objetivo desta campanha pode ser roubar criptomoedas de usuários no Sudeste Asiático e na China. Usuários no Vietnã também correm o risco de enfrentar ameaças semelhantes.

A Kaspersky notificou o Google e a Apple para que tomem medidas contra os aplicativos maliciosos. Alguns detalhes técnicos sugerem que a nova campanha está vinculada ao SparkCat, um trojan descoberto anteriormente. O SparkCat é o primeiro malware na plataforma iOS a ter um módulo integrado de reconhecimento óptico de caracteres (OCR) que escaneia a biblioteca de fotos do usuário e rouba capturas de tela contendo senhas ou frases de recuperação para carteiras de criptomoedas.

Depois do SparkCat, esta é a segunda vez neste ano que pesquisadores da Kaspersky descobrem um ladrão de Trojans na App Store.

Na App Store, esse malware trojan se disfarça como um aplicativo relacionado a criptomoedas chamado 币coin. Além disso, em sites fraudulentos projetados para imitar a interface da App Store do iPhone, os cibercriminosos também espalham esse malware disfarçados de aplicativo TikTok e alguns jogos de apostas.

“Sites falsos são um dos canais mais populares para a distribuição de trojans, onde hackers tentam induzir usuários a visitar e instalar malware em iPhones. No iOS, ainda existem algumas maneiras legítimas de os usuários instalarem aplicativos de fora da App Store. Nesta campanha de ataque, os hackers se aproveitaram de uma ferramenta de desenvolvedor projetada para instalar aplicativos internos em empresas. Na versão infectada do TikTok, assim que o usuário faz login, o malware rouba fotos da galeria do telefone e insere secretamente um link estranho no perfil da vítima. O que é preocupante é que esse link leva a uma loja que só aceita pagamentos em criptomoedas, o que nos deixa ainda mais preocupados com esta campanha”, disse Sergey Puzan, analista de malware da Kaspersky.

No Android, os invasores atacaram usuários tanto no Google Play quanto em sites de terceiros, disfarçando o malware como serviços relacionados a criptomoedas. Um exemplo de aplicativo infectado é o SOEX, um aplicativo de mensagens com funcionalidade integrada para negociação de criptomoedas, com mais de 10.000 downloads em sua loja oficial.

Além disso, especialistas também descobriram arquivos APK (arquivos de instalação de aplicativos Android, que podem ser instalados diretamente sem passar pelo Google Play) desses aplicativos infectados por malware em sites de terceiros, que se acredita estarem relacionados à campanha de ataque acima.

Esses aplicativos são promovidos sob o disfarce de projetos de investimento em criptomoedas. Notavelmente, os sites que os distribuem também são amplamente divulgados nas redes sociais, incluindo o YouTube.

“Uma vez instalados, os aplicativos funcionam conforme descrito”, disse Dmitry Kalinin, analista de malware da Kaspersky. “No entanto, durante a instalação, eles se infiltram silenciosamente no dispositivo e enviam automaticamente imagens da galeria da vítima para o invasor. Essas imagens podem conter informações confidenciais que os invasores buscam, como scripts de recuperação de carteira de criptomoedas, permitindo o roubo dos ativos digitais da vítima. Há indícios indiretos de que os invasores estão atrás dos ativos digitais dos usuários: muitos dos aplicativos infectados estão relacionados a criptomoedas, e a versão infectada do TikTok também inclui uma loja que aceita apenas pagamentos em criptomoedas.”

Para evitar ser vítima desse malware, a Kaspersky recomenda que os usuários tomem as seguintes medidas de segurança:

- Se você instalou acidentalmente um dos aplicativos infectados, remova-o rapidamente do seu dispositivo e não o utilize novamente até que haja uma atualização oficial para remover completamente o recurso malicioso.

- Evite armazenar capturas de tela com informações confidenciais em sua biblioteca de fotos, especialmente imagens com códigos de recuperação de carteira de criptomoedas. Em vez disso, os usuários podem armazenar informações de login em aplicativos dedicados de gerenciamento de senhas.

- Instale um software de segurança confiável para evitar o risco de infecção por malware. Para sistemas operacionais iOS com arquitetura de segurança específica, a solução da Kaspersky emitirá um alerta caso detecte que o dispositivo está transmitindo dados para o servidor de controle do hacker e bloqueará esse processo de transmissão de dados.

- Quando um aplicativo solicita acesso à biblioteca de fotos, os usuários devem considerar cuidadosamente se essa permissão é realmente necessária para a função principal do aplicativo.

Fonte: https://www.vietnamplus.vn/phat-hien-phan-mem-gian-diep-moi-nham-vao-nguoi-tren-app-store-va-google-play-post1046585.vnp