Лаборатория Касперского» обнаружила SparkKitty, кроссплатформенный троянец-шпион для iOS и Android

Зловред проник в официальные сторы — это второй случай за год, когда специалисты «Лаборатории Касперского» находят троянец-стилер в App Store

Специалисты «Лаборатории Касперского» обнаружили вредоносную программу для смартфонов на iOS и Android и назвали её SparkKitty. Она распространялась в App Store и Google Play, а также на поддельных и сторонних сайтах — в составе неофициальной, модифицированной версии TikTok и под видом приложений, преимущественно связанных с криптовалютами и азартными играми.

Троянец-шпион отправляет злоумышленникам изображения из галереи на заражённом телефоне и информацию об устройстве. Эксперты предполагают, что основная цель атакующих — кража криптовалютных активов жителей стран Юго-Восточной Азии и Китая.

Столкнуться с подобной киберугрозой рискуют и пользователи в России. Отдельные технические артефакты также указывают на то, что новая кампания связана с ранее обнаруженным троянцем SparkCat.

«Лаборатория Касперского» уведомила Google и Apple о вредоносных приложениях.

iOS. В App Store троянец выдавал себя за приложение для отслеживания курсов криптовалют и получения торговых сигналов. На поддельных страницах, мимикрирующих под официальный магазин приложений для iPhone, зловред распространялся в составе модификаций TikTok и приложений, связанных с азартными играми.

«Одним из векторов распространения троянца оказались фальшивые сайты, через которые злоумышленники пытались заразить iPhone жертв. На iOS предусмотрено несколько легитимных способов установки программ не из App Store. В этой вредоносной кампании атакующие использовали один из них — специальные инструменты для распространения корпоративных бизнес‑приложений, — поясняет Сергей Пузан, эксперт «Лаборатории Касперского» по кибербезопасности. —  Стоит отметить, что в заражённой версии TikTok при авторизации зловред помимо кражи фотографий из галереи смартфона встраивал в окно профиля человека ссылки на подозрительный магазин, принимающий оплату только в криптовалютах».

Android. Злоумышленники атаковали пользователей как на неофициальных ресурсах, так и в Google Play, выдавая зловред за разные криптовалютные сервисы. Например, одно из заражённых приложений — мессенджер с функцией обмена криптовалют — было загружено из официального стора более 10 тысяч раз. На сторонних площадках заражённые приложения, которые, вероятно, связаны с обнаруженной вредоносной кампанией, позиционируются как инвестиционные криптовалютные проекты и ориентированы в том числе на пользователей из России. Ресурсы, на которых размещались эти программы, рекламировались в социальных сетях и в YouTube.

«После установки приложений пользователи получали заявленную функциональность, но вместе с тем их фотографии из галереи смартфона отправлялись злоумышленникам. Вероятно, на изображениях атакующие в дальнейшем могут пытаться найти разные конфиденциальные данные, в том числе — для доступа к криптокошелькам жертв. В этой кампании на интерес атакующих к цифровым активам людей указывают косвенные признаки: среди заражённых приложений многие имели отношение к теме криптовалют, а в поддельный TikTok был также встроен подозрительный магазин, принимающий оплату в криптовалюте», — комментирует Дмитрий Калинин, эксперт «Лаборатории Касперского» по кибербезопасности".

Решения «Лаборатории Касперского» для Android и iOS защищают пользователей от новой киберугрозы и детектируют троянец как:

    HEUR:Trojan-Spy.AndroidOS.SparkKitty.

    HEUR:Trojan-Spy.IphoneOS.SparkKitty*.

 Для защиты от подобной киберугрозы эксперты «Лаборатории Касперского» рекомендуют:

    использовать защитные решения для смартфонов;

    не хранить конфиденциальную информацию в галерее смартфона или в текстовых заметках, лучше использовать для этого защищённые папки или менеджеры паролей;

    скачивать приложения из официальных источников: благодаря модерации риск столкнуться с вредоносной программой в таких магазинах ниже. При этом в официальных сторах пользователям также важно быть внимательными: не загружать подозрительные приложения, обращать внимание на их рейтинг, отзывы, разработчика;

    владельцам iPhone не делать джейлбрейк — эта процедура значительно снижает уровень кибербезопасности смартфона.

 * В силу архитектурных особенностей операционной системы от Apple решение Kaspersky для iOS показывает пользователю предупреждение, если обнаруживает попытку передачи данных на командный сервер злоумышленников, и блокирует передачу данных атакующим.