Un nou program spion care vizează persoane a fost descoperit în App Store și Google Play

Pe 26 iunie, experții de la Kaspersky au anunțat că au descoperit un nou program spyware numit SparkKitty, conceput pentru a ataca smartphone-urile care utilizează sistemele de operare iOS și Android, apoi pentru a trimite imagini și informații despre dispozitive de pe telefoanele infectate către serverul atacatorului.

SparkKitty a fost integrat în aplicații cu conținut legat de criptomonede și jocuri de noroc, precum și într-o versiune falsă a aplicației TikTok. Aceste aplicații au fost distribuite nu doar prin App Store și Google Play, ci și pe site-uri web frauduloase.

Conform analizei experților, scopul acestei campanii ar putea fi furtul de criptomonede de la utilizatorii din Asia de Sud-Est și China. Utilizatorii din Vietnam riscă, de asemenea, să se confrunte cu amenințări similare.

Kaspersky a notificat Google și Apple să ia măsuri împotriva aplicațiilor rău intenționate. Unele detalii tehnice sugerează că noua campanie este legată de SparkCat, un troian descoperit anterior. SparkCat este primul malware de pe platforma iOS care are un modul încorporat de recunoaștere optică a caracterelor (OCR) care scanează biblioteca foto a unui utilizator și fură capturi de ecran care conțin parole sau fraze de recuperare pentru portofele de criptomonede.

După SparkCat, aceasta este a doua oară în acest an când cercetătorii Kaspersky au descoperit un virus troian în App Store.

În App Store, acest malware troian este deghizat într-o aplicație legată de criptomonede numită 币coin. În plus, pe site-uri web frauduloase concepute pentru a imita interfața App Store pentru iPhone, infractorii cibernetici răspândesc acest malware și sub masca aplicației TikTok și a unor jocuri de pariuri.

„Site-urile web false sunt unul dintre cele mai populare canale de distribuire a troienilor, prin care hackerii încearcă să păcălească utilizatorii să viziteze și să instaleze programe malware pe iPhone-uri. Pe iOS, există încă câteva modalități legitime prin care utilizatorii pot instala aplicații din afara App Store. În această campanie de atac, hackerii au profitat de un instrument pentru dezvoltatori conceput pentru a instala aplicații interne în companii. În versiunea infectată a TikTok, imediat ce utilizatorul se conectează, malware-ul fură fotografii din galeria telefonului și introduce în secret un link ciudat în profilul victimei. Ceea ce este îngrijorător este că acest link duce către un magazin care acceptă doar plăți în criptomonede, ceea ce ne îngrijorează și mai mult în legătură cu această campanie”, a declarat Sergey Puzan, analist malware la Kaspersky.

Pe Android, atacatorii au vizat utilizatorii atât de pe Google Play, cât și de pe site-uri web terțe, deghizând malware-ul în servicii legate de criptomonede. Un exemplu de aplicație infectată este SOEX, o aplicație de mesagerie cu funcționalitate încorporată de tranzacționare a criptomonedelor, cu peste 10.000 de descărcări din magazinul său oficial.

În plus, experții au descoperit și fișiere APK (fișiere de instalare a aplicațiilor Android, care pot fi instalate direct fără a trece prin Google Play) ale acestor aplicații infectate cu malware pe site-uri web terțe, despre care se crede că au legătură cu campania de atac menționată anterior.

Aceste aplicații sunt promovate sub pretextul unor proiecte de investiții în criptomonede. În special, site-urile web care distribuie aplicațiile sunt promovate pe scară largă și pe rețelele de socializare, inclusiv pe YouTube.

„Odată instalate, aplicațiile funcționează conform descrierii”, a declarat Dmitry Kalinin, analist malware la Kaspersky. „Cu toate acestea, în timpul instalării, acestea se infiltrează în mod silențios în dispozitiv și trimit automat imagini din galeria victimei către atacator. Aceste imagini pot conține informații sensibile pe care atacatorii le caută, cum ar fi scripturi de recuperare a portofelelor cripto, permițându-le să fure activele digitale ale victimei. Există semne indirecte că atacatorii urmăresc activele digitale ale utilizatorilor: multe dintre aplicațiile infectate sunt legate de criptomonede, iar versiunea infectată a TikTok include și un magazin care acceptă doar plăți în criptomonede.”

Pentru a evita să devină victime ale acestui malware, Kaspersky recomandă utilizatorilor să ia următoarele măsuri de siguranță:

- Dacă ați instalat accidental una dintre aplicațiile infectate, eliminați rapid aplicația de pe dispozitiv și nu o mai utilizați până când nu există o actualizare oficială care să elimine complet funcția rău intenționată.

- Evitați stocarea capturilor de ecran care conțin informații sensibile în biblioteca foto, în special a imaginilor care conțin coduri de recuperare a portofelului de criptomonede. În schimb, utilizatorii pot stoca informațiile de conectare în aplicații dedicate de gestionare a parolelor.

- Instalați un software de securitate fiabil pentru a preveni riscul de infecție cu malware. Pentru sistemele de operare iOS cu o arhitectură de securitate specifică, soluția Kaspersky va avertiza dacă detectează dispozitivul care transmite date către serverul de control al hackerului și va bloca acest proces de transmitere a datelor.

- Când o aplicație solicită acces la biblioteca foto, utilizatorii ar trebui să analizeze cu atenție dacă această permisiune este într-adevăr necesară pentru funcția principală a aplicației./.

Sursă: https://www.vietnamplus.vn/phat-hien-phan-mem-gian-diep-moi-nham-vao-nguoi-tren-app-store-va-google-play-post1046585.vnp