Профессионалы «Лаборатории Касперского» обнаружили вредоносную программу для смартфонов на iOS и Android и назвали её SparkKitty.
Она распространялась в App Store и Google Play, а также на фальшивых и сторонних сайтах - в составе неофициальной, модифицированной версии TikTok и маскируясь под приложений, предпочтительно связанных с криптовалютами и азартными забавами.
Троянец-шпион отправляет злодеям изображения из галереи на заражённом телефоне и информацию об устройстве. Эксперты предполагают, что основная цель нападающих - кража криптовалютных активов обитателей стран Юго-Восточной Азии и Китая. Столкнуться с аналогичной киберугрозой рискуют и пользователи в России. Отдельные технические артефакты также повелевают на то, что новая кампания связана с ранее обнаруженным троянцем SparkCat.
«Лаборатория Касперского» уведомила Google и Apple о вредоносных приложениях.
iOS. В App Store троянец выдавал себя за приложение для отслеживания курсов криптовалют и получения торговых сигналов. На фальшивых страницах, мимикрирующих под официальный магазин приложений для iPhone, зловред распространялся в составе модификаций TikTok и приложений, связанных с азартными забавами.
«Одним из векторов распространения троянца оказались ложные сайты, через которые преступники пытались заразить iPhone жертв. На iOS предусмотрено несколько легитимных способов установки программ не из App Store. В этой вредоносной кампании нападающие использовали какой-то из них - специальные приборы для распространения корпоративных бизнес приложений, - объясняет Сергей Пузан, эксперт «Лаборатории Касперского» по кибербезопасности. - Стоит сделать запись, что в заражённой версии TikTok при авторизации зловред помимо кражи фотографий из галереи смартфона встраивал в окно профиля человека ссылки на подозрительный магазин, принимающий оплату только в криптовалютах».
Android. Злоумышленники нападали пользователей как на неофициальных ресурсах, так и в Google Play, выдавая зловред за различные криптовалютные сервисы. Например, одно из заражённых приложений - мессенджер с функцией обмена криптовалют - было загружено из официального стора более 10 тысяч раз. На сторонних площадках заражённые приложения, которые, вероятно, связаны с обнаруженной вредоносной кампанией, позиционируются как инвестиционные криптовалютные проекты и ориентированы в том числе на пользователей из России. Ресурсы, на которых размещались эти программы, рекламировались в социальных сетях и в YouTube.
«После установки приложений пользователи получали заявленную функциональность, но вместе с тем их фотографии из галереи смартфона отправлялись злоумышленникам. Вероятно, на изображениях нападающие в последующем могут пытаться найти различные конфиденциальные данные, в том числе - для доступа к криптокошелькам жертв. В этой кампании на интерес нападающих к цифровым активам людей повелевают косвенные признаки: среди заражённых приложений многие имели отношение к теме криптовалют, ну а в фальшивый TikTok был также встроен подозрительный магазин, принимающий оплату в криптовалюте», - объясняет Дмитрий Калинин, эксперт «Лаборатории Касперского» по кибербезопасности.