Истражувачите на Kaspersky открија малициозен софтвер SparkCat на Google Play, за кој велат дека моментално е конфигуриран за кражба на податоци од криптопаричници, но лесно може да се пренамени за кражба на други вредни податоци, како што се фотографии, слики од екранот, документи, договори или семенски фрази за обновување на криптопаричникот.
Најзагрижувачки е тоа што овој малициозен софтвер се нашол во официјалните продавници за апликации, а заразените апликации се преземени речиси 250.000 пати само од Google Play. Тројанецот бил откриен и во App Store.
Кои апликации се заразени?
Апликациите што содржат SparkCat спаѓаат во две категории. Некои, како што се бројни апликации за пораки со вештачка интелигенција, развиени од ист издавач, исто така се измама. Други, пак, се легитимни апликации за услуги за испорака на храна, читање вести и управување со криптопаричници.
„Сè уште не знаеме како тројанецот влегол во овие апликации. Можно е да е резултат на напад врз синџирот на снабдување, при што е заразена компонента од трета страна што се користи во апликацијата. Или, пак, самите програмери можеби свесно го вградиле тројанецот“, велат истражувачите на Kaspersky.
Злонамерниот софтвер SparkCat првпат бил откриен во апликацијата ComeCome, достапна на Google Play и App Store. Оваа апликација, која нуди услуги за испорака на храна, е активна во ОАЕ и Индонезија.
Како функционира тројанецот SparkCat?
Малициозниот софтвер ги анализира фотографиите во галеријата на паметниот телефон, па затоа сите заразени апликации бараат дозвола за пристап до галеријата. Во многу случаи, ова изгледа сосема легитимно – на пример, за да споделувате фотографии во месинџер.
Сепак, штом корисникот ќе даде пристап, SparkCat почнува да ги прегледува сите достапни слики, барајќи чувствителни податоци.
За да пронајде информации за криптопаричници, тројанецот користи OCR (оптичко препознавање знаци) базиран на Google ML Kit, универзална библиотека за машинско учење. Истражувачите на Kaspersky велат дека сајбер-криминалците се особено заинтересирани за семенски фрази, кои овозможуваат обновување на пристапот до криптопаричниците.
Досега се идентификувани десетици заразени апликации – 10 на Google Play и 11 на App Store. Сите се отстранети по пријавата, но истиот малициозен софтвер бил достапен и на неофицијални веб-локации и продавници за апликации.
Според податоците, SparkCat таргетира корисници во Европа и Азија, а некои докази сугерираат дека нападите започнале најдоцна до март 2024 година. Истражувачите веруваат дека авторите на овој малициозен софтвер потекнуваат од Кина.
Како да се заштитите од OCR тројанци?
Не преземајте апликации само врз основа на нивната оцена – висока оценка не е гаранција за безбедност. Избирајте апликации со илјадници или милиони преземања, објавени пред барем неколку месеци.
Проверете ги линковите до апликациите – секогаш преземајте од официјални извори, како што е веб-страницата на развивачот.
Читајте рецензии, особено негативни – тие често откриваат сомнително однесување на апликацијата.
Внимавајте при доделување дозволи – избегнувајте апликации што бараат пристап до галеријата, локацијата или чувствителни податоци без очигледна причина.
Ако не сте сигурни во апликацијата, не и давајте целосен пристап до вашите фотографии и видеа – дозволувајте пристап само до одредени слики кога е потребно.
Што ако веќе сте ја инсталирале заразената апликација?
• Веднаш избришете ја апликацијата
• Прегледајте ја вашата фотогалерија за да утврдите кои податоци можеби биле компромитирани
Променете ги сите лозинки
Блокирајте ги сите картички што биле зачувани во галеријата
Следете го официјалниот извештај на Kaspersky за ажурирани информации
Списокот со сите заразени апликации е објавен на блогот на Kaspersky – Securelist.
