Een Nieuwe Trojan Spy op de App Store en Google Play
Kaspersky-onderzoekers hebben een nieuwe Trojan spy ontdekt, genaamd SparkKitty, die zich richt op smartphones met zowel iOS als Android. Deze kwaadaardige software is in staat om afbeeldingen van een geïnfecteerde telefoon en informatie over het apparaat naar de aanvallers te verzenden. SparkKitty is verborgen in applicaties die verband houden met cryptocurrency en gokken, evenals in een trojanized TikTok-app, en is verspreid via de App Store, Google Play en op frauduleuze websites. Experts vermoeden dat de aanvallers zich richten op het stelen van cryptocurrency-activa van inwoners in Zuidoost-Azië en China.
Kaspersky heeft Google en Apple op de hoogte gesteld van de kwaadaardige apps. Bepaalde technische details wijzen erop dat deze nieuwe malwarecampagne verband houdt met de eerder ontdekte SparkCat Trojan — malware die als eerste op iOS werd aangetroffen en een ingebouwd optisch tekenherkenningsmodule (OCR) heeft, waardoor het in staat is om afbeeldingsgalerijen te scannen en schermopnamen te stelen die herstelzinnen of wachtwoorden van cryptocurrency-portefeuilles bevatten. De zaak SparkKitty markeert de tweede keer in een jaar dat Kaspersky-onderzoekers een Trojan stealer op de App Store hebben ontdekt, na SparkCat.
iOS
Op de App Store deed de Trojan zich voor als een app gerelateerd aan cryptocurrency — 币coin. Op phishingpagina’s die de officiële iPhone App Store nabootsten, werd de malware verspreid onder de schijn van TikTok- en gokapplicaties.
“Een van de distributiekanalen van de Trojan bleek nepwebsites te zijn waar de aanvallers probeerden de iPhones van hun slachtoffers te infecteren. iOS biedt verschillende legitieme manieren om programma’s buiten de App Store te installeren. In deze kwaadaardige campagne maakten de aanvallers gebruik van een van deze methoden — speciale ontwikkelaarstools voor het distribueren van bedrijfsapplicaties. In de geïnfecteerde versie van TikTok, tijdens de autorisatie, steelt de malware niet alleen foto’s uit de smartphone-galerij, maar voegt ook links naar een verdachte winkel toe in het profielvenster van de gebruiker. Deze winkel accepteert alleen cryptocurrency, wat onze bezorgdheid hierover vergroot,” legt Sergey Puzan, malware-expert bij Kaspersky, uit.
Android
De aanvallers richtten zich zowel op gebruikers op derde websites als op Google Play, waar ze de malware als verschillende crypto-diensten presenteerden. Een van de geïnfecteerde applicaties — een messenger genaamd SOEX met een functie voor cryptocurrency-uitwisseling — werd meer dan 10.000 keer gedownload vanuit de officiële winkel.
Experts ontdekten ook APK-bestanden van geïnfecteerde apps (deze kunnen rechtstreeks op Android-smartphones worden geïnstalleerd, zonder gebruik te maken van officiële winkels) op derde websites die waarschijnlijk verband houden met de gedetecteerde kwaadaardige campagne. Deze werden gepositioneerd als investeringsprojecten in crypto. De websites waarop deze applicaties werden gepost, werden gepromoot op sociale netwerken, waaronder YouTube.
“Na de installatie functioneerden de apps zoals beloofd in hun beschrijving. Tegelijkertijd werden echter foto’s uit de smartphone-galerij naar de aanvallers verzonden. De aanvallers kunnen later proberen verschillende vertrouwelijke gegevens in de afbeeldingen te vinden, zoals herstelzinnen van crypto-portefeuilles om toegang te krijgen tot de activa van de slachtoffers. Er zijn indirecte aanwijzingen dat de aanvallers geïnteresseerd zijn in de digitale activa van mensen: veel van de geïnfecteerde apps waren gerelateerd aan crypto, en de trojanized TikTok-app had ook een ingebouwde winkel die alleen betalingen in crypto accepteerde,” merkt Dmitry Kalinin, een malware-expert bij Kaspersky, op.
Een gedetailleerd rapport over deze aanval is beschikbaar op Securelist.com.
Veiligheidsmaatregelen
Om te voorkomen dat u het slachtoffer wordt van deze malware, raadt Kaspersky de volgende veiligheidsmaatregelen aan:
- Als u een van de geïnfecteerde applicaties heeft geïnstalleerd, verwijder deze dan van uw apparaat en gebruik deze niet totdat er een update is uitgebracht om de kwaadaardige functionaliteit te verwijderen.
- Vermijd het opslaan van screenshots met gevoelige informatie in uw galerij, inclusief herstelzinnen van cryptocurrency-portefeuilles. Wachtwoorden kunnen bijvoorbeeld worden opgeslagen in gespecialiseerde applicaties zoals Kaspersky Password Manager.
- Betrouwbare cybersecurity-software, zoals Kaspersky Premium, kan malware-infecties voorkomen. Vanwege de architectonische kenmerken van het Apple-besturingssysteem toont de Kaspersky-oplossing voor iOS een waarschuwing aan de gebruiker als het een poging detecteert om gegevens naar de server van de aanvaller te verzenden, en blokkeert het de aanvaller om gegevens over te dragen.
- Als een app toestemming vraagt om toegang te krijgen tot de fotobibliotheek van de telefoon, overweeg dan of deze app dit echt nodig heeft.
Het is van cruciaal belang om alert te blijven en de juiste voorzorgsmaatregelen te nemen om uw digitale veiligheid te waarborgen.
