Kriptovaluta lopó alkalmazásokat találtak az Apple App Store-ban és a Google Play Áruházban

enlightened Ez az oldal a közösségért készül. heart Kövess minket máshol is:  Linux Mint Magyar Közösség a Mastodon-on  Telegram csatorna – csak hírek  Beszélgessünk a Telegram – Linux csevegő csoport  Hírek olvasása RSS segítségével  Linux Mint Hivatalos Magyar Közösség a Facebook-on      Linux Mint Baráti Kör a Facebook-on
wink Ha hasznosnak találod, és szeretnéd, hogy folytatódjon, támogasd a munkát Ko-fi vagy Paypal segítségével. laugh

kami911 képe
Beküldte kami911 -

A Google Play Áruházban és az Apple App Store-ban található Android- és iOS alkalmazások egy része rosszindulatú SDK-t (Software Development Kit – szoftverfejlesztő készletet) tartalmaznak, amelyek OCR (Optical Character Recognition – optikai karakterfelismerő) segítségével a felhasználók kriptovaluta tárcáinak helyreállítási kifejezéseit lopják el. A kampány a “SparkCat” nevet kapta az egyik fertőzött alkalmazásban található rosszindulatú SDK-komponens (“Spark”) után.

Hogyan működik a támadás?

A fertőzött Android-alkalmazásokban lévő rosszindulatú SDK egy „Spark” nevű Java-komponenst tartalmaz, amely elemzési modulnak álcázza magát. Valójában viszont egy GitLab-en tárolt,  titkosított konfigurációs fájl parancsait követi. iOS platformon a keretrendszer különböző neveken fut, például „Gzip”, „googleappsdk” vagy „stat”. Egy “im_net_sys” elnevezésű Rust-alapú hálózati modult használ, ami a C2 (Command and Control) szerverekkel való kommunikációért felel. A modul a Google ML Kit OCR funkciójának segítségével nyeri ki a szöveget a készüléken tárolt képekből, és megpróbálja megtalálni azokat a helyreállítási kifejezéseket, amelyek segítségével a támadók a jelszó ismerete nélkül is hozzáférhetnek az áldozatok kriptotárcáihoz.

Kaspersky

A malware a képeken különböző nyelveken, meghatározott kulcsszavakat keres, melyek régiónként eltérőek lehetnek. A Kaspersky kutatói 18 Android- és 10 fertőzött iOS  alkalmazást találtak, amelyek közül némelyik jelenleg is elérhető az alkalmazásboltokban. A fertőzöttnek nyilvánított alkalmazások között szerepelt például az Android ChatAi, ami több mint 50 000-szer került letöltésre. Szerencsére már nem érhető el Google Playen. Az érintett alkalmazások teljes listája a Kaspersky jelentésének végén található.

Kaspersky

Ha valamelyik fertőzött alkalmazást telepítettük, javasolt az azonnali eltávolítása a készülékről, valamint futtassunk víruskeresőt! A gyári beállítások visszaállítását is érdemes megfontolni a teljes biztonság érdekében. A kriptovaluta tárcák helyreállítási kifejezéseit képernyőképekben tárolni továbbra sem ajánlott. Inkább fizikai offline adathordozón, titkosított cserélhető tárolóeszközökön vagy saját, offline jelszókezelőben tároljuk őket!

(forrás, forrás)

A parancs- és vezérlőkiszolgálókhoz való csatlakozáshoz használt URL-ek Forrás: Kaspersky
A parancs- és vezérlőkiszolgálókhoz való csatlakozáshoz használt URL-ek Forrás: Kaspersky
Alkalmazás 50 000 letöltéssel a Google Playen Forrás: Kaspersky
Alkalmazás 50 000 letöltéssel a Google Playen Forrás: Kaspersky