Podvodné či inak nebezpečné aplikácie nie sú v dnešnom svete nič nové. Zvyčajne sa však objavujú v prostredí obchodu Google Play Store pre operačný systém Android, nakoľko je široko otvorený tretím stranám. Apple aplikuje oveľa prísnejší prístup, no to neznamená, že je voči hrozbám úplne imúnny. Dôkazom sú aj najnovšie zistenia, na ktoré upozorňuje server PhoneArena. Tieto zistenia totiž odhalili prítomnosť viacerých nebezpečných aplikácií v App Store pre iOS.
Konkrétne s nimi prišli odborníci na kybernetickú bezpečnosť zo spoločnosti Kaspersky. Odhalili malvér s názvom SparkCat, ktorý cieli ako na používateľov Androidu, tak aj používateľov iOS. Šíri sa prostredníctvom aplikácií, ktoré kradnú obrázky z galérií telefónov a vyhľadávajú citlivé informácie, ako napríklad frázy, ktoré by mohli poslúžiť na získanie prístupu ku kryptopeňaženkám a následnú krádež uložených finančných prostriedkov.
Na Google Play boli infikované aplikácie stiahnuté viac ako 242 000-krát. Pokiaľ ide o počet obetí medzi používateľmi iPhonov, ten nám nateraz nie je známy. Vieme však, že tieto aplikácie dokázali obísť vysoké bezpečnostné bariéry App Store. Dokonca ide o prvý prípad, kedy boli v obchode od Apple zistené aplikácie obsahujúce malvér na kradnutie údajov.
Ako to funguje?
Malvér využíva tzv. optické rozpoznávanie znakov (OCR), a to prostredníctvom doplnku vytvoreného pomocou Google ML Kit. Tento nástroj umožňuje malvéru skenovať text na obrázkoch uložených v zariadení. Pokiaľ sa na obrázkoch nachádzajú kľúčové slová súvisiace s kryptopeňaženkami, malvér ich zaznamená a odošle do rúk útočníkom.
Okrem fráz na obnovu peňaženiek však dokáže malvér identifikovať aj iné citlivé informácie, ako sú heslá alebo správy zachytené na snímkach obrazovky.
Ktoré aplikácie sú infikované?
Malvér má obsahovať viacero aplikácií, pričom hneď dve z nich zneužívajú aktuálne najväčší technologický trend – umelú inteligenciu (AI). Konkrétne spoločnosť Kaspersky identifikovala:
- ComeCome
- ChatAi
- WeTink
- AnyGPT
Niektoré z týchto aplikácií sú stále dostupné na stiahnutie v obchodoch Google Play Store a Apple App Store, čo zvyšuje riziko ďalších obetí.
Hrozba je dlhodobá
Kampaň opierajúca sa o mavlér SparkCat nie je úplne neznáma. Odborníci monitorujú jej aktívnu činnosť už od marca 2024. Identifikácia infikovaných aplikácií však bola zložitá, nakoľko často nevykazovalo podozrivé správanie. Aj ich bežné používanie, teda používanie na zamýšľaný účel, pritom stačilo na aktiváciu malvéru. Nepotreboval dokonca ani nadmerné oprávnenia.
Spoločnosť Kaspersky uvádza, že nie je jasné, či za infekciu nesú zodpovednosť samotní vývojári aplikácií, alebo či išlo o dôsledok útoku na dodávateľský reťazec. To znamená, že niektoré aplikácie mohli byť vytvorené zámerne s cieľom prilákať obete, zatiaľ čo iné boli legitímne aplikácie infikované počas vývoja. Dodáva, že kampaň cieli na používateľov v Európe a Ázii.
Ako zmierniť riziko?
Pokiaľ máte v telefóne stiahnutú niektorú z uvedených aplikácií, najlepšie bude, keď ju okamžite odstránite a vykonáte hĺbkovú kontrolu zariadenia.
Aby ste sa vyhli podobným útokom, nikdy si neukladajte snímky obrazovky alebo obrázky obsahujúce citlivé údaje do galérie vášho telefónu. Dodatočne si dávajte pozor na oprávnenia aplikácií a sťahujte ich len z dôveryhodných zdrojov.
