Beveiligingsonderzoekers hebben een nieuwe trojan ontdekt die Android- en iOS-gebruikers treft: SparkKitty. Deze kwaadaardige software steelt foto's en probeert cryptovaluta-informatie te bemachtigen door gebruik te maken van geavanceerde technieken zoals optical character recognition (OCR). Daarbij worden afbeeldingen gescand op gevoelige gegevens, zoals inloggegevens van digitale cryptoportemonnees.
Hoewel de malware initieel lijkt te mikken op gebruikers in Zuidoost-Azië en China, blijkt uit onderzoek dat ook mensen in de Benelux, Denemarken en Zweden tot de doelwitten behoren. De malware opereert grotendeels ongemerkt op de achtergrond en exporteert afbeeldingen en apparaatinformatie zonder medeweten van de gebruiker.
Apps met malware in officiële appwinkels
Bijzonder zorgwekkend is dat gebruikers geen apps van onbekende bronnen hoefden te installeren om besmet te raken. In de Google Play Store werden meerdere legitiem ogende apps ontdekt die de SparkKitty-malware bevatten. Eén daarvan was de berichtendienst SOEX, die al meer dan 10.000 keer was gedownload voordat de besmetting werd ontdekt.
Ook buiten de Play Store circuleerden geïnfecteerde APK-bestanden van bekende apps, verspreid via websites en YouTube-kanalen die nauw verbonden lijken met de hackersgroep. Deze apps functioneerden doorgaans zoals beschreven, wat het wantrouwen van gebruikers wegnam, terwijl de malware op de achtergrond actief bleef.
iOS-gebruikers eveneens getroffen
Ook iOS-gebruikers zijn slachtoffer van SparkKitty. De malware werd aangetroffen in neppe crypto-apps die via de App Store werden aangeboden en specifiek gericht waren op Chinese gebruikers. Deze apps werkten op het eerste gezicht normaal, maar verzamelden ondertussen stilletjes foto's en apparaatgegevens.
Daarnaast werden gebruikers misleid via nagemaakte App Store-webpagina’s waarop bijvoorbeeld nepversies van TikTok werden aangeboden. Deze versies bevatten een extra “winkel” waarmee gebruikers zogenaamd cryptobetalingen konden uitvoeren voor niet-bestaande items.
De verspreiding van de malware op iOS gebeurde deels via een legitieme ontwikkelfunctie, waardoor apps buiten de App Store om geïnstalleerd konden worden zonder de gebruikelijke veiligheidscontrole.
Advies aan gebruikers
Gebruikers wordt aangeraden om hun toestellen te controleren op verdachte apps. Indien een geïnfecteerde app wordt aangetroffen, moet deze onmiddellijk worden verwijderd. Daarnaast is het raadzaam om geen gevoelige gegevens, zoals wachtwoorden of recovery seeds, op te slaan in screenshots, aangezien SparkKitty specifiek op dergelijke beelden jaagt.
Hoewel Apple en Google inmiddels op de hoogte zijn en de malafide apps uit hun winkels hebben verwijderd, blijft het belangrijk om waakzaam te zijn. Het installeren van apps buiten de officiële winkels wordt sterk afgeraden, tenzij de bron absoluut betrouwbaar is.
Door: Drifter
Aanbevolen Reacties
Er zijn geen reacties om weer te geven.
Log in om te reageren
Je kunt een reactie achterlaten na het inloggen
Login met de gegevens die u gebruikt bij softtrack