Cercetătorii Kaspersky au descoperit un nou troian spion, numit SparkKitty, care vizează smartphone-urile cu iOS și Android. Acesta trimite imagini din telefonul infectat și informații despre dispozitiv către atacatori. Malware-ul este ascuns în aplicații legate de criptomonede și jocuri de noroc, precum și într-o versiune troianizată a aplicației TikTok, fiind distribuit atât prin App Store și Google Play, cât și prin site-uri frauduloase. Experții consideră că scopul atacatorilor este de a fura criptomonede de la utilizatori din Asia de Sud-Est și China. Utilizatorii din România sunt, de asemenea, potențial expuși unui risc similar.
Kaspersky a notificat Google și Apple cu privire la aplicațiile malițioase. Anumite detalii tehnice sugerează că noua campanie de malware are legătură cu troianul SparkCat descoperit anterior — primul malware de acest tip pe iOS — care include un modul de recunoaștere optică a caracterelor (OCR), permițând scanarea galeriilor foto și furtul capturilor de ecran ce conțin fraze menite să ajute la recuperarea conturilor sau parole ale portofelelor de criptomonede. Cu SparkKitty este a doua oară într-un an când cercetătorii Kaspersky detectează un troian de tip stealer în App Store, după SparkCat.
În App Store, troianul se prezenta ca o aplicație legată de criptomonede — 币coin. Pe pagini de tip phishing care imitau App Store-ul oficial al iPhone, malware-ul era distribuit sub forma unor aplicații TikTok sau de jocuri de noroc.
O aplicație falsă de schimb de criptomonede, 币coin, în App Store
O pagină web care imita AppStore pentru a instala o falsă aplicație TikTok prin intermediul instrumentelor pentru dezvoltatori
Un magazin web fals încorporat în presupusa aplicație TikTok
Pe Android, atacatorii au vizat utilizatorii atât prin site-uri terțe, cât și prin Google Play, prezentând malware-ul drept servicii cripto. De exemplu, una dintre aplicațiile infectate — un messenger numit SOEX cu funcție de schimb de criptomonede — a fost descărcată de peste 10.000 de ori din magazinul oficial.
O presupusă aplicație de schimb de criptomonede, SOEX, pe Google Play
Experții au găsit și fișiere APK ale aplicațiilor infectate (care pot fi instalate direct pe telefoanele Android, ocolind magazinele oficiale) pe site-uri terțe, probabil asociate campaniei malițioase detectate. Aceste aplicații erau prezentate drept proiecte cripto de investiții. Site-urile unde erau postate erau promovate pe rețele sociale, inclusiv pe YouTube.
Un raport detaliat despre acest atac este disponibil pe Securelist.com.
Pentru a evita infectarea cu acest malware, Kaspersky recomandă următoarele măsuri de siguranță:
- Dacă ați instalat una dintre aplicațiile infectate, ștergeți-o imediat de pe dispozitiv și nu o mai folosiți până la apariția unei actualizări care elimină funcționalitatea malițioasă.
- Evitați stocarea capturilor de ecran care conțin informații sensibile în galerie, inclusiv fraze de recuperare pentru portofele cripto. Parolele pot fi stocate în aplicații specializate, precum Kaspersky Password Manager.
- Un software de securitate fiabil, cum este Kaspersky Premium, poate preveni infectările cu malware. Datorită caracteristicilor sistemului de operare Apple, soluția Kaspersky pentru iOS avertizează utilizatorul dacă detectează o tentativă de transfer de date către serverul de comandă al atacatorului și blochează această comunicare.
- Dacă o aplicație solicită acces la arhiva foto a telefonului, întrebați-vă dacă are într-adevăr nevoie de acest drept.
