SparkKitty: Νέος ιός σε App Store και Google Play – Ποια wallet και κωδικούς χτυπάει

Οι ερευνητές της Kaspersky ανακάλυψαν ένα νέο Trojan spyware με την ονομασία SparkKitty, το οποίο στοχεύει σε smartphones με iOS και Android. Το κακόβουλο λογισμικό στέλνει στους επιτιθέμενους εικόνες, καθώς και άλλες πληροφορίες σχετικά με τη συσκευή.

Το malware ήταν ενσωματωμένο σε εφαρμογές που σχετίζονται με κρυπτονομίσματα και τυχερά παιχνίδια, καθώς και σε μία τροποποιημένη έκδοση της εφαρμογής TikTok, και διανεμόταν τόσο στο App Store και το Google Play όσο και σε ιστότοπους απάτης. Οι ειδικοί προειδοποιούν ότι οι επιτιθέμενοι έχουν ως κύριο στόχο την υποκλοπή κρυπτονομισμάτων από χρήστες που βρίσκονται στη Νοτιοανατολική Ασία και την Κίνα. Ωστόσο, χρήστες και από την Ελλάδα ενδέχεται να βρεθούν στο στόχαστρο αντίστοιχων κυβερνοεπιθέσεων.

Η Kaspersky έχει ειδοποιήσει τη Google και την Apple για τις κακόβουλες εφαρμογές. Ορισμένα τεχνικά χαρακτηριστικά υποδηλώνουν ότι αυτή η νέα εκστρατεία malware σχετίζεται με το SparkCat Trojan που είχε εντοπιστεί παλαιότερα (το πρώτο κακόβουλο λογισμικό του είδους του στο iOS), το οποίο περιλάμβανε ενσωματωμένη μονάδα αναγνώρισης χαρακτήρων (OCR), επιτρέποντάς του να σαρώνει εικόνες και στιγμιότυπα οθόνης που περιέχουν στοιχεία πρόσβασης σε crypto wallet ή κωδικούς πρόσβασης. Η υπόθεση SparkKitty αποτελεί τη δεύτερη φορά μέσα σε ένα έτος που οι αναλυτές της Kaspersky εντοπίζουν trojan stealer στο App Store, μετά το SparkCat.

iOS

Στο App Store, το Trojan παρουσιαζόταν ως εφαρμογή σχετική με τα κρυπτονομίσματα. Σε παραπλανητικές ιστοσελίδες που μιμούνταν το επίσημο App Store της Apple, το malware διανεμόταν με τη μορφή εφαρμογών TikTok και τυχερών παιχνιδιών.

 

 

 

«Οι επιτιθέμενοι χρησιμοποίησαν ψεύτικες ιστοσελίδες ως βασικό τρόπο διάδοσης του Trojan με στόχο τη μόλυνση συσκευών iPhone. Το iOS επιτρέπει την εγκατάσταση εφαρμογών και εκτός App Store. Στην περίπτωση αυτή, οι επιτιθέμενοι αξιοποίησαν ειδικά εργαλεία λογισμικού για προγραμματιστές, για τη διανομή εταιρικών επιχειρησιακών εφαρμογών, τα οποία προορίζονται για εσωτερική χρήση από επιχειρήσεις. Κατά την είσοδο στην τροποποιημένη έκδοση του TikTok, το malware, εκτός από την υποκλοπή φωτογραφιών, ενσωμάτωνε στο προφίλ του χρήστη συνδέσμους που οδηγούσαν σε ύποπτο ηλεκτρονικό κατάστημα. Το γεγονός ότι δεχόταν πληρωμές μόνο σε κρυπτονομίσματα, είναι ένα στοιχείο  που εντείνει τις υποψίες μας», εξηγεί ο Sergey Puzan, αναλυτής κακόβουλου λογισμικού στην Kaspersky.

Android

Οι κυβερνοεγκληματίες προώθησαν το malware τόσο μέσα από ανεξάρτητους ιστότοπους όσο και μέσω του Google Play, παρουσιάζοντάς το ως ανταλλακτήριο κρυπτονομισμάτων. Για παράδειγμα, η εφαρμογή SOEX, συνδύαζε λειτουργία ανταλλαγής crypto με δυνατότητα επικοινωνίας και είχε περισσότερες από 10.000 λήψεις.

 

Οι ειδικοί της Kaspersky εντόπισαν επίσης αρχεία APK μολυσμένων εφαρμογών (που μπορούν να εγκατασταθούν απευθείας σε Android smartphones παρακάμπτοντας τα επίσημα καταστήματα) σε ιστοσελίδες που φαίνεται να σχετίζονται με τη συγκεκριμένη απειλή. Οι εφαρμογές αυτές παρουσιάζονταν ως επενδυτικά crypto projects και διαφημίζονταν σε κοινωνικά δίκτυα, συμπεριλαμβανομένου του YouTube.

«Μετά την εγκατάσταση, οι εφαρμογές λειτουργούσαν όπως περιγραφόταν, όμως, ταυτόχρονα, υπέκλεπταν φωτογραφίες από τη συσκευή και τις έστελναν στους επιτιθέμενους. Στόχος ενδέχεται να είναι o εντοπισμός ευαίσθητων δεδομένων του εκάστοτε χρήστη, όπως τα στοιχεία πρόσβασης στο crypto wallet. Υπάρχουν ενδείξεις ότι ενδιαφέρονται ιδιαίτερα για τα ψηφιακά περιουσιακά στοιχεία των θυμάτων: πολλές από τις μολυσμένες εφαρμογές σχετίζονταν με crypto, ενώ η τροποποιημένη εφαρμογή TikTok είχε ενσωματωμένο κατάστημα που δεχόταν μόνο πληρωμές σε crypto», σχολιάζει ο Dmitry Kalinin, αναλυτής κακόβουλου λογισμικού στην Kaspersky.

Λεπτομερής έκθεση σχετικά με αυτή την επίθεση είναι διαθέσιμη στο Securelist.com.

Για να αποφύγετε να πέσετε θύμα αυτού του κακόβουλου λογισμικού, η Kaspersky συνιστά:

• Εάν έχετε εγκαταστήσει κάποια από τις μολυσμένες εφαρμογές, διαγράψτε την από τη συσκευή σας και μην την επαναχρησιμοποιήσετε μέχρι να διατεθεί επίσημη ενημέρωση που να εξαλείφει την κακόβουλη λειτουργία της
• Μην αποθηκεύετε στιγμιότυπα οθόνης που περιέχουν ευαίσθητες πληροφορίες (όπως στοιχεία πρόσβασης) στη συλλογή φωτογραφιών σας. Οι κωδικοί πρόσβασης θα πρέπει να αποθηκεύονται σε ειδικές εφαρμογές, όπως το Kaspersky Password Manager.
• Χρησιμοποιείτε αξιόπιστο λογισμικό προστασίας, όπως το Kaspersky Premium, το οποίο μπορεί να αποτρέψει μολύνσεις από malware. Στο iOS, λόγω των περιορισμών του λογισμικού της Apple, η λύση της Kaspersky προειδοποιεί τον χρήστη σε περίπτωση απόπειρας μεταφοράς δεδομένων σε server επιτιθέμενου και εμποδίζει αυτή τη μεταφορά.
• Αν μια εφαρμογή ζητήσει πρόσβαση στη βιβλιοθήκη φωτογραφιών σας, σκεφτείτε αν τη χρειάζεται πραγματικά για τη λειτουργία της.

Σχετικά με την Kaspersky

Η Kaspersky είναι μια παγκόσμια εταιρεία ψηφιακής ασφάλειας με έτος ίδρυσης το 1997. Η βαθιά πληροφόρηση απειλών και η τεχνογνωσία στον τομέα της ασφάλειας της Kaspersky μετατρέπονται συνεχώς σε λύσεις και υπηρεσίες ασφάλειας για την προστασία επιχειρήσεων, κρίσιμων υποδομών, κυβερνήσεων και καταναλωτών σε όλον τον κόσμο. Το ολοκληρωμένο χαρτοφυλάκιο ασφάλειας της εταιρείας περιλαμβάνει την προστασία τερματικών σημείων και μια σειρά εξειδικευμένων λύσεων και υπηρεσιών ασφάλειας για την καταπολέμηση εξελιγμένων και εξελισσόμενων ψηφιακών απειλών. Περισσότεροι από 400 εκατομμύρια χρήστες προστατεύονται από τις τεχνολογίες της Kaspersky και βοηθάμε 220.000 εταιρικούς πελάτες να προστατεύουν ό,τι είναι πιο σημαντικό για αυτούς.

Μάθετε περισσότερα στο kaspersky.com.