SparkKitty: un nou troian spion în App Store și Google Play

SparkKitty este un nou troian spion, care vizează smartphone-urile cu iOS și Android, a anunțat Kaspersky. Acesta trimite imagini din telefonul infectat și informații despre dispozitiv către atacatori. Malware-ul este ascuns în aplicații legate de criptomonede și jocuri de noroc, precum și într-o versiune troianizată a aplicației TikTok, fiind distribuit atât prin App Store și Google Play, cât și prin site-uri frauduloase.

Experții consideră că scopul hackerilor este de a fura criptomonede de la utilizatori din Asia de Sud-Est și China. Utilizatorii din România sunt, de asemenea, potențial expuși unui risc similar.

SparkKitty are legătură cu troianul SparkCat descoperit anterior

Kaspersky a notificat Google și Apple cu privire la aplicațiile malițioase. Anumite detalii tehnice sugerează că noua campanie de malware are legătură cu troianul SparkCat descoperit anterior — primul malware de acest tip pe iOS — care include un modul de recunoaștere optică a caracterelor (OCR), permițând scanarea galeriilor foto și furtul capturilor de ecran ce conțin fraze menite să ajute la recuperarea conturilor sau parole ale portofelelor de criptomonede. Cu SparkKitty este a doua oară într-un an când cercetătorii Kaspersky detectează un troian de tip stealer în App Store, după SparkCat.

În App Store, troianul se prezenta ca o aplicație legată de criptomonede — 币coin. Pe pagini de tip phishing care imitau App Store-ul oficial al iPhone, malware-ul era distribuit sub forma unor aplicații TikTok sau de jocuri de noroc.

Pe Android, atacatorii au vizat utilizatorii atât prin site-uri terțe, cât și prin Google Play, prezentând malware-ul drept servicii cripto. De exemplu, una dintre aplicațiile infectate — un messenger numit SOEX cu funcție de schimb de criptomonede — a fost descărcată de peste 10.000 de ori din magazinul oficial.

Experții au găsit și fișiere APK ale aplicațiilor infectate (care pot fi instalate direct pe telefoanele Android, ocolind magazinele oficiale) pe site-uri terțe, probabil asociate campaniei malițioase detectate. Aceste aplicații erau prezentate drept proiecte cripto de investiții. Site-urile unde erau postate erau promovate pe rețele sociale, inclusiv pe YouTube.

Sursa: Kaspersky