Avertismentul Kaspersky: Cum acționează SparkKitty, noul troian spion în App Store și Google Play

Un nou program malware sofisticat, denumit SparkKitty, a fost identificat recent de către experții Kaspersky.

Acest troian cu funcții de spionaj are capacitatea de a transmite fotografii și informații din telefoanele infectate către serverele controlate de atacatori. Vizate sunt atât dispozitivele care rulează Android, cât și cele cu sistem de operare iOS.

Aplicații false pentru criptomonede și TikTok, folosite ca vehicul de infectare

SparkKitty se ascunde în aplicații aparent inofensive, care se prezintă ca instrumente financiare sau de divertisment. Printre acestea se numără aplicații de schimb de criptomonede, jocuri de noroc și chiar versiuni false ale platformei TikTok.

Malware-ul a fost răspândit atât prin intermediul magazinelor oficiale de aplicații, App Store și Google Play, cât și prin site-uri web frauduloase, care mimează aspectul acestor platforme pentru a induce utilizatorii în eroare.

Conform raportului Kaspersky, țintele principale ale atacurilor sunt utilizatorii din Asia de Sud-Est și China, însă riscuri similare există și pentru utilizatorii din România. Compania de securitate informatică a notificat deja Google și Apple cu privire la aplicațiile periculoase.

SparkKitty pare să fie o continuare a unei campanii de atac mai vechi, asociată cu troianul SparkCat, primul program malițios de acest gen cunoscut pe platforma iOS.

SparkCat includea un modul OCR (recunoaștere optică a caracterelor), care permitea scanarea fotografiilor din galerie pentru extragerea de informații sensibile, precum frazele de recuperare ale portofelelor de criptomonede. SparkKitty vine astfel să continue această metodă de sustragere a datelor, confirmând un nou val de amenințări.

Un exemplu de aplicație infectată identificată în App Store a fost „币coin”, prezentată ca un serviciu de tranzacționare cripto.

Totodată, pe unele site-uri false care imitau interfața App Store, utilizatorii erau încurajați să instaleze aplicații TikTok contrafăcute, care conțineau cod malițios.

În cazul dispozitivelor Android, atacatorii au folosit și magazinul oficial Google Play pentru a distribui aplicații precum SOEX, un fals messenger cu funcții de criptomonede, descărcat de peste 10.000 de ori.

Recomandări pentru protejarea datelor personale și a portofelelor cripto

Mai mult, versiunile APK ale acestor aplicații (formate pentru instalare manuală) au fost descoperite pe diverse site-uri promovate intens pe platforme sociale, inclusiv pe YouTube, ceea ce amplifică expunerea utilizatorilor.

Pentru a evita infectarea, Kaspersky recomandă următoarele măsuri de precauție:

Dacă ai instalat accidental una dintre aplicațiile compromise, aceasta trebuie eliminată imediat. Nu relua utilizarea până la apariția unei versiuni sigure.

Nu păstra în galeria foto capturi de ecran cu informații confidențiale, cum ar fi fraze de recuperare pentru portofele cripto. Este preferabil să folosești aplicații dedicate pentru stocarea acestora, cum ar fi Kaspersky Password Manager.

Instalează soluții de securitate de încredere. Spre exemplu, Kaspersky Premium poate detecta și bloca tentativele de comunicare cu serverele atacatorilor.

Acordă atenție permisiunilor cerute de aplicații, în special cele legate de accesul la galeria foto, întrebă-te dacă este într-adevăr necesar pentru funcționarea aplicației.