ΑρχικήSecurityΕφαρμογές στο Google Play και στο App Store κλέβουν crypto wallets

Εφαρμογές στο Google Play και στο App Store κλέβουν crypto wallets

Εφαρμογές στο Google Play Store και το Apple App Store περιέχουν ένα software development kit (SDK) που κλέβει crypto wallet recovery phrases μέσω optical character recognition (OCR) stealers.

Εφαρμογές Google Play App Store crypto wallets SparkCat

Η κακόβουλη καμπάνια ονομάζεται “SparkCat” από το όνομα (“Spark”) ενός από τα κακόβουλα SDK components στις μολυσμένες εφαρμογές. Οι προγραμματιστές πιθανότατα δεν γνωρίζουν ότι οι εφαρμογές τους αποτελούν μέρος της επίθεσης.

Σύμφωνα με την Kaspersky, μόνο στο Google Play, οι μολυσμένες εφαρμογές είχαν περισσότερες από 242.000 λήψεις.

Advertisement

Δείτε επίσης: ΗΠΑ: Βορειοκορεάτες hackers έκλεψαν crypto αξίας $ 659 εκατ. το 2024

Βρήκαμε εφαρμογές Android και iOS που είχαν ενσωματωμένο ένα κακόβουλο SDK/framework για την κλοπή crypto wallet recovery phrases. Μερικές ήταν διαθέσιμες στο Google Play και στο App Store“, εξηγεί η Kaspersky.

Το Spark SDK κλέβει τα crypto των θυμάτων

Το κακόβουλο SDK που βρίσκεται σε μολυσμένες εφαρμογές Android χρησιμοποιεί ένα Java component με το όνομα “Spark”, το οποίο παρουσιάζεται σαν analytics module. Χρησιμοποιεί ένα κρυπτογραφημένο αρχείο διαμόρφωσης που είναι αποθηκευμένο στο GitLab. Αυτό παρέχει εντολές και λειτουργικές ενημερώσεις.

Στην πλατφόρμα iOS, το framework έχει διαφορετικά ονόματα όπως “Gzip“, “googleappsdk” ή “stat“. Επίσης, χρησιμοποιεί ένα Rust-based networking module που ονομάζεται “im_net_sys” για να χειριστεί την επικοινωνία με τους διακομιστές εντολών και ελέγχου (C2).

To module χρησιμοποιεί το Google ML Kit OCR για εξαγωγή κειμένου από εικόνες στη συσκευή. Με αυτόν τον τρόπο, προσπαθεί να εντοπίσει recovery phrases που μπορούν να χρησιμοποιηθούν για τη φόρτωση crypto wallets στις συσκευές των εισβολέων.

Δείτε επίσης: Οι απάτες crypto-romance αυξάνονται – πώς θα τις αποφύγετε

Το κακόβουλο στοιχείο φορτώνει διαφορετικά μοντέλα OCR ανάλογα με τη γλώσσα του συστήματος. Μπορεί να διακρίνει λατινικούς, κορεατικούς, κινεζικούς και ιαπωνικούς χαρακτήρες στις εικόνες“, εξηγεί η Kaspersky.

Στη συνέχεια, το SDK μεταφορτώνει πληροφορίες σχετικά με τη συσκευή στον διακομιστή εντολών και λαμβάνει ένα αντικείμενο που ρυθμίζει την επακόλουθη λειτουργία του κακόβουλου λογισμικού“, πρόσθεσαν οι ερευνητές.

Το κακόβουλο λογισμικό αναζητά εικόνες που περιέχουν μυστικά χρησιμοποιώντας συγκεκριμένες λέξεις-κλειδιά σε διαφορετικές γλώσσες.

Μολυσμένες εφαρμογές σε App Store και Google Play

Σύμφωνα με την Kaspersky, υπάρχουν δεκαοκτώ μολυσμένες εφαρμογές Android και 10 iOS. Μία από τις εφαρμογές αυτές είναι η Android ChatAi, η οποία εγκαταστάθηκε περισσότερες από 50.000 φορές. Αυτή η εφαρμογή δεν είναι πλέον διαθέσιμη στο Google Play.

Μια πλήρης λίστα με τις επηρεαζόμενες εφαρμογές βρίσκεται στο τέλος της αναφοράς της Kaspersky.

Όσοι έχουν κατεβάσει κάποια από τις κακόβουλες εφαρμογές, καλούνται να την απεγκαταστήσουν αμέσως και να χρησιμοποιήσουν ένα εργαλείο προστασίας από ιούς. Θα πρέπει επίσης να εξεταστεί το ενδεχόμενο επαναφοράς εργοστασιακών ρυθμίσεων.

Δείτε επίσης: Κακόβουλες επεκτάσεις VSCode στοχεύουν developers και επενδυτές crypto

Με την αυξανόμενη δημοτικότητα των crypto, γίνεται όλο και πιο σημαντικό τόσο για τους χρήστες όσο και για τους προγραμματιστές εφαρμογών να γνωρίζουν τους πιθανούς κινδύνους ασφαλείας και να λαμβάνουν τις απαραίτητες προφυλάξεις. Τα καταστήματα εφαρμογών θα πρέπει επίσης να εφαρμόζουν αυστηρότερες διαδικασίες ελέγχου για να αποτρέπουν τη διανομή τέτοιων κακόβουλων SDK, προκειμένου να προστατεύουν καλύτερα τους χρήστες τους. Αυτό το περιστατικό υπογραμμίζει την ανάγκη για συνεχή παρακολούθηση και τακτικές ενημερώσεις για την αντιμετώπιση τυχόν τρωτών σημείων που ενδέχεται να εκμεταλλευτούν οι εγκληματίες του κυβερνοχώρου.

Επιπλέον, για να μειωθεί η πιθανότητα μόλυνσης μέσω optical character recognition (OCR) stealers, είναι καλό να αποφεύγεται η αποθήκευση crypto wallet recovery phrases σε screenshots.

Πηγή: www.bleepingcomputer.com

Digital Fortress
Digital Fortresshttps://www.secnews.gr
Pursue Your Dreams & Live!
spot_img

Εγγραφή στο Newsletter

* indicates required

FOLLOW US

LIVE NEWS