Нове шпигунське програмне забезпечення, спрямоване на користувачів, виявлене в App Store та Google Play.

26 червня експерти Kaspersky оголосили про виявлення нового шпигунського програмного забезпечення під назвою SparkKitty, призначеного для атаки смартфонів з операційними системами iOS та Android, з подальшим надсиланням зображень та інформації про пристрій із заражених телефонів на сервер зловмисника.

SparkKitty вбудований у додатки з контентом, пов'язаним з криптовалютою та азартними іграми, а також у підроблену версію додатка TikTok. Ці додатки розповсюджуються не лише через App Store та Google Play, але й на фішингових веб-сайтах.

Згідно з експертним аналізом, метою цієї кампанії може бути крадіжка криптовалюти у користувачів у Південно-Східній Азії та Китаї. Користувачі у В'єтнамі також ризикують зіткнутися з подібною загрозою.

«Касперський» повідомив Google та Apple про необхідність вирішення проблеми вищезгаданих шкідливих програм. Деякі технічні деталі свідчать про те, що ця нова атакуюча кампанія пов’язана зі SparkCat – раніше виявленим троянцем. SparkCat – це перше шкідливе програмне забезпечення на платформі iOS, яке має вбудований модуль оптичного розпізнавання символів (OCR) для сканування бібліотек фотографій користувачів, крадучи скріншоти, що містять паролі або фрази для відновлення криптовалютного гаманця.

Після SparkCat, це вже другий випадок цього року, коли дослідники Kaspersky виявили троянське програмне забезпечення-викрадач шкідливих програм в App Store.

В App Store це троянське програмне забезпечення маскується під додаток, пов'язаний з криптовалютою, під назвою 币coin. Крім того, на фішингових веб-сайтах, розроблених для імітації інтерфейсу App Store для iPhone, кіберзлочинці розповсюджують це шкідливе програмне забезпечення під виглядом TikTok та деяких азартних ігор.

Сергій Пузан, аналітик з питань шкідливого програмного забезпечення в Kaspersky, заявив: «Фальшиві веб-сайти є одним із найпоширеніших каналів розповсюдження троянських програм, де хакери намагаються обманом змусити користувачів отримати доступ та встановити шкідливе програмне забезпечення на свої iPhone. В операційній системі iOS все ще існують деякі законні методи для користувачів, щоб встановлювати програми з-поза App Store. У цій атаці хакери використали інструмент розробника, призначений для встановлення програм всередині компаній. У зараженій версії TikTok, одразу після входу користувача в систему, шкідливе програмне забезпечення викрало фотографії з галереї телефону та таємно вставило дивне посилання на сторінку профілю жертви. Викликає занепокоєння те, що це посилання вело до магазину, який приймає лише криптовалютні платежі, що ще більше посилило наші занепокоєння щодо цієї кампанії».

В операційній системі Android зловмисники атакують користувачів як у Google Play, так і на сторонніх веб-сайтах, маскуючи шкідливе програмне забезпечення під сервіси, пов’язані з криптовалютою. Одним із прикладів зараженого додатку є SOEX – месенджер з інтегрованою функцією торгівлі криптовалютою, який має понад 10 000 завантажень з офіційного магазину.

Крім того, експерти також виявили APK-файли (файли встановлення програм для Android, які можна встановити безпосередньо, без використання Google Play) цих заражених програм на сторонніх веб-сайтах, які, як вважається, пов'язані зі згаданою кампанією атак.

Ці додатки просуваються як інвестиційні проекти в криптовалюту. Примітно, що веб-сайти, що розповсюджують ці додатки, також широко просуваються в соціальних мережах, зокрема на YouTube.

Дмитро Калінін, аналітик з питань шкідливого програмного забезпечення в Kaspersky, заявив: «Після встановлення ці програми функціонують так, як було описано спочатку. Однак під час встановлення вони непомітно проникають у пристрій і автоматично надсилають зображення з галереї жертви зловмиснику. Ці зображення можуть містити конфіденційну інформацію, яку шукають хакери, таку як коди відновлення криптовалютного гаманця, що дозволяє їм красти цифрові активи жертви. Існує багато непрямих ознак того, що група атак націлена на цифрові активи користувачів: багато заражених програм пов’язані з криптовалютою, а заражена шкідливим програмним забезпеченням версія TikTok також інтегрує магазин, який приймає лише криптовалютні платежі».

Щоб уникнути зараження цим шкідливим програмним забезпеченням, Kaspersky рекомендує користувачам вжити таких заходів безпеки:

- Якщо ви випадково встановили одну із заражених програм, швидко видаліть її зі свого пристрою та не використовуйте її знову, доки не буде випущено офіційне оновлення, яке повністю видалить шкідливі функції.

- Уникайте збереження скріншотів, що містять конфіденційну інформацію, у вашій фотобібліотеці, особливо зображень із кодами відновлення криптовалютних гаманців. Натомість користувачі можуть зберігати дані для входу у спеціальних програмах для керування паролями.

- Встановіть надійне програмне забезпечення безпеки, щоб запобігти ризику зараження шкідливим програмним забезпеченням. Для операційної системи iOS з її унікальною архітектурою безпеки рішення Kaspersky попередить вас, якщо виявить, що пристрій передає дані на командний сервер хакера, і заблокує цю передачу даних.

- Коли програма запитує доступ до бібліотеки фотографій, користувачам слід ретельно розглянути, чи справді цей дозвіл необхідний для основної функції програми.

Джерело: https://www.vietnamplus.vn/phat-hien-phan-mem-gian-diep-moi-nham-vao-nguoi-tren-app-store-va-google-play-post1046585.vnp