Niebezpieczne aplikacje znalazły się zarówno w Sklepie Google na Androida, jak i Appe Store na iOS. Ich zadaniem jest okradanie kont ofiar. Na trop złośliwych programów ukrytych w aplikacjach wpadli eksperci ds. bezpieczeństwa z firmy Kaspersky.
Firma Kaspersky donosi o niebezpiecznych aplikacjach. Znalazły się one w renomowanych sklepach z aplikacjami jakimi są Google Play oraz App Store.
Aplikacje zawierają szkodliwy komponent SDK. Twórcy mogą nawet nie mieć świadomości, że w ich oprogramowaniu został on zaszyty. Ukrywa się on pod płaszczem modułu analitycznego. Naprawdę jego zadaniem jest kradzieży pieniędzy.
Kampania nosi nazwę „SparkCat”. Pochodzi od „Spark”, czyli nazwy jednego ze złośliwych komponentów SDK w zainfekowanych aplikacjach. Kampania wymierzona jest w użytkowników w Azji i Europie.
Jedna z aplikacji – ChatAi – została pobrana przez korzystających z Androida 50 tys. razy. Inną z aplikacji zawierających szkodliwe oprogramowanie pobrano z Google Play ponad 242 tys. razy. Nie jest to pierwsza taka sytuacja.
Jak działają malware zaszyte w aplikacjach?
Malware, który został umieszczone w aplikacjach, wykorzystuje Google ML Kit OCR do odczytywania tekstu z obrazków. W taki sposób odszukuje na urządzeniu grafikę z kodem dostępu do portfela kryptowalut. Pozwala mu to na dostanie się do niego bez znajomości hasła.
Jeśli cała procedura się uda, to wysyła zdobyte informacje na zewnętrzny serwer. W ten sposób oszuści przejmują pieniądze z kryptowalutowych portfeli.
Groźnych aplikacji jest sporo
Na Androida groźne aplikacje to:
– com.crownplay.vanity.address;
– com.atvnewsonline.app;
– com.bintiger.mall.android;
– com.websea.exchange;
– org.safew.messenger;
– org.safew.messenger.store;
– com.tonghui.paybank;
– com.bs.feifubao;
– com.sapp.chatai;
– com.sapp.starcoin.
W przypadku Apple iOS:
– im.pop.app.iOS.Messenger;
– com.hkatv.ios
– com.atvnewsonline.app;
– io.zorixchange;
– com.yykc.vpnjsq;
– com.llyy.au;
– com.star.har91vnlive;
– com.jhgj.jinhulalaab;
– com.qingwa.qingwa888lalaaa;
– com.blockchain.uttool;
– com.wukongwaimai.client;
– com.unicornsoft.unicornhttpsforios;
– staffs.mil.CoinPark;
– com.lc.btdj;
– com.baijia.waimai;
– com.ctc.jirepaidui;
– com.ai.gbet;
– app.nicegram;
– com.blockchain.ogiut;
– com.blockchain.98ut;
– com.dream.towncn;
– com.mjb.hardwood.Test;
– com.galaxy666888.ios;
– njiujiu.vpntest;
– com.qqt.jykj;
– com.ai.sport;
– com.feidu.pay;
– app.ikun277.test;
– com.usdtone.usdtoneApp2;
– com.cgapp2.wallet0;
– com.bbydqb;
– com.yz.Byteswap.native;
– jiujiu.vpntest;
– com.wetink.chat;
– com.websea.exchange;
– com.customize.authenticator;
– im.token.app;
– com.mjb.WorldMiner.new;
– com.kh-super.ios.superapp;
– com.thedgptai.event;
– com.yz.Eternal.new;
– xyz.starohm.chat;
– com.crownplay.luckyaddress1.
Źródło: telepolis.pl
