В App Store и Google Play обнаружено новое шпионское ПО, нацеленное на пользователей

26 июня эксперты «Лаборатории Касперского» объявили об обнаружении новой шпионской программы под названием SparkKitty, предназначенной для атаки на смартфоны с операционными системами iOS и Android, а затем отправки изображений и информации об устройстве с зараженных телефонов на сервер злоумышленника.

SparkKitty был встроен в приложения с контентом, связанным с криптовалютами и азартными играми, а также в поддельную версию приложения TikTok. Эти приложения распространялись не только через App Store и Google Play, но и через мошеннические сайты.

По мнению экспертов, целью этой кампании может быть кража криптовалюты у пользователей из Юго-Восточной Азии и Китая. Пользователи во Вьетнаме также подвержены риску столкнуться с аналогичными угрозами.

«Лаборатория Касперского» уведомила Google и Apple о необходимости принять меры против вредоносных приложений. Некоторые технические детали указывают на то, что новая кампания связана с ранее обнаруженным трояном SparkCat. SparkCat — первая вредоносная программа на платформе iOS со встроенным модулем оптического распознавания символов (OCR), который сканирует фотоархивы пользователей и похищает скриншоты, содержащие пароли или фразы восстановления для криптовалютных кошельков.

После SparkCat это уже второй случай в этом году, когда исследователи «Лаборатории Касперского» обнаружили троян-воров в App Store.

В App Store этот троян маскируется под приложение, связанное с криптовалютой, под названием 币coin. Кроме того, на мошеннических сайтах, имитирующих интерфейс App Store для iPhone, киберпреступники также распространяют это вредоносное ПО под видом приложения TikTok и некоторых игр со ставками.

«Поддельные веб-сайты — один из самых популярных каналов распространения троянов, с помощью которых хакеры пытаются обманом заставить пользователей зайти на iPhone и установить вредоносное ПО. На iOS пользователи всё ещё могут устанавливать приложения не из App Store. В этой атаке хакеры воспользовались инструментом разработчика, предназначенным для установки внутренних приложений компаний. В заражённой версии TikTok, как только пользователь входит в систему, вредоносная программа крадет фотографии из галереи телефона и тайно вставляет странную ссылку на личную страницу жертвы. Тревогу вызывает то, что эта ссылка ведёт в магазин, принимающий только криптовалютные платежи, что ещё больше усиливает нашу обеспокоенность этой кампанией», — заявил Сергей Пузан, аналитик вредоносного ПО «Лаборатории Касперского».

На устройствах Android злоумышленники атаковали пользователей как в Google Play, так и на сторонних сайтах, маскируя вредоносное ПО под сервисы, связанные с криптовалютой. Одним из примеров зараженного приложения является SOEX, мессенджер со встроенной функцией торговли криптовалютой, который был скачан из официального магазина более 10 000 раз.

Кроме того, эксперты также обнаружили APK-файлы (установочные файлы приложений Android, которые можно установить напрямую, минуя Google Play) этих зараженных вредоносным ПО приложений на сторонних веб-сайтах, предположительно связанных с вышеуказанной кампанией атак.

Эти приложения продвигаются под видом проектов по инвестированию в криптовалюту. Примечательно, что сайты, распространяющие эти приложения, также активно продвигаются в социальных сетях, включая YouTube.

«После установки приложения работают так, как описано. Однако во время установки они незаметно проникают на устройство и автоматически отправляют изображения из галереи жертвы злоумышленнику. Эти изображения могут содержать конфиденциальную информацию, которую ищут хакеры, например, скрипты для восстановления криптокошельков, что позволяет им украсть цифровые активы жертвы», — заявил Дмитрий Калинин, аналитик вредоносного ПО в «Лаборатории Касперского». «Есть косвенные признаки того, что злоумышленники охотятся за цифровыми активами пользователей: многие из зараженных приложений связаны с криптовалютами, а зараженная версия TikTok также включает магазин, принимающий только криптовалютные платежи».

Чтобы не стать жертвой этого вредоносного ПО, «Лаборатория Касперского» рекомендует пользователям принять следующие меры безопасности:

- Если вы случайно установили одно из зараженных приложений, как можно скорее удалите приложение со своего устройства и не используйте его снова, пока не выйдет официальное обновление, полностью удаляющее вредоносную функцию.

– Не храните скриншоты с конфиденциальной информацией в своей фотогалерее, особенно изображения с кодами восстановления криптовалютного кошелька. Вместо этого пользователи могут хранить данные для входа в систему в специальных приложениях для управления паролями.

- Установите надежное защитное ПО, чтобы предотвратить риск заражения вредоносным ПО. Для операционных систем iOS с их уникальной архитектурой безопасности решение «Лаборатории Касперского» предупредит об обнаружении устройства, передающего данные на сервер управления злоумышленника, и заблокирует этот процесс передачи данных.

- Когда приложение запрашивает доступ к библиотеке фотографий, пользователи должны тщательно подумать, действительно ли это разрешение необходимо для основной функции приложения./.

Источник: https://www.vietnamplus.vn/phat-hien-phan-mem-gian-diep-moi-nham-vao-nguoi-tren-app-store-va-google-play-post1046585.vnp