Volgens het cybersecuritybedrijf Kaspersky Labs maken kwaadwillende softwareontwikkelingskits, die worden gebruikt bij het bouwen van apps voor zowel de Google Play Store als de Apple App Store, misbruik van gebruikersfotoโs. Ze scannen door middel van malware afbeeldingen om herstelzinnen voor cryptowallets te achterhalen.
Kaspersky onderzoekers Sergey Puzan en Dmitry Kalinin rapporteerden op 4 februari dat de malware, genaamd SparkCat, zich via een geรฏnfecteerd apparaat verspreidt. Dit gebeurt door middel van een OCR-stealer (optical character recognition), die met behulp van trefwoorden in meerdere talen naar relevante afbeeldingen zoekt.
“De criminelen stelen herstelzinnen voor cryptowallets, wat voldoende is om volledige controle te krijgen over de wallet van het slachtoffer voor verdere diefstal van crypto”, schreven Puzan en Kalinin.
Een zorgwekkend aspect van deze malware is de flexibiliteit ervan. Niet alleen kunnen herstelzinnen worden buitgemaakt, maar ook andere gevoelige gegevens die in de fotogalerij zijn opgeslagen, zoals wachtwoorden of de inhoud van berichten die op screenshots te vinden zijn.
Maatregelen tegen diefstal van crypto door SparkCat
Om zich te beschermen, adviseert Kaspersky gebruikers om geen gevoelige informatie in screenshots of hun fotogalerij op te slaan. In plaats daarvan wordt het gebruik van een wachtwoordmanager aangeraden. Daarnaast is het belangrijk om verdachte of mogelijk geรฏnfecteerde applicaties onmiddellijk van het apparaat te verwijderen.
Puzan en Kalinin leggen uit dat de malware in Android apps gebruikmaakt van een Java-component, genaamd Spark. Deze module, vermomd als analysetool, werkt met een gecodeerd configuratiebestand dat wordt gehost op GitLab. Dit bestand levert opdrachten en operationele updates aan de malware.
Een op vertrouwen gebaseerde netwerkmodule maakt gebruik van Google ML Kit OCR om tekst uit afbeeldingen op geรฏnfecteerde apparaten te halen. Hiermee speurt de malware naar herstelzinnen, die vervolgens door de aanvallers worden gebruikt om cryptowallets over te nemen, zonder dat ze het bijbehorende wachtwoord nodig hebben.
Volgens Kaspersky is de malware sinds de start van de aanval in maart al ongeveer 242.000 keer gedownload. De aanval richt zich voornamelijk op Android- en iOS-gebruikers in Europa en Aziรซ.
Malware in tientallen applicaties van Google en Apple app stores
De malware is teruggevonden in tientallen applicaties, zowel legitieme als frauduleuze, die beschikbaar zijn in de Google en Apple app stores. Toch vertonen al deze besmette apps gelijkaardige kenmerken. Zo is de malware geschreven in de programmeertaal Rust, een taal die zelden wordt gebruikt voor mobiele applicaties. Bovendien is de software ontworpen om op meerdere platformen te functioneren en maakt het gebruik van geavanceerde technieken om detectie te bemoeilijken.
Puzan en Kalinin stellen dat het nog onduidelijk is of de besmette applicaties getroffen zijn door een aanval op de toeleveringsketen, of dat ontwikkelaars de Trojan opzettelijk in hun software hebben geรฏntegreerd.
“Sommige apps, zoals bezorgdiensten voor eten, lijken legitiem, terwijl andere duidelijk zijn gebouwd om slachtoffers te lokken. Zo hebben we bijvoorbeeld verschillende soortgelijke ‘berichten-apps’ met AI functies van dezelfde ontwikkelaar gezien”, voegden ze toe.
De oorsprong van de malware blijft vooralsnog onbekend en er is geen specifieke groep geรฏdentificeerd die verantwoordelijk is voor de aanval.
Wil je altijd op de hoogte blijven? Volg ons dan op Google Nieuws.
Ontvang 10 euro gratis crypto bij Bitvavo
In samenwerking met Bitvavo mogen wij 10 euro gratis cryptocurrency weggeven aan onze lezers. Dit is een exclusieve samenwerking met de grootste exchange van Nederland. Daarnaast mag je ook de eerste 7 dagen โฌ10.000 volledig gratis handelen op het platform, dit heeft ook een waarde van 25 euro.
Start jouw cryptoavontuur met een welkomstcadeau van 10 euro (storting van โฌ10 vereist) en maak jouw account aan via onderstaande knop. Je vindt alle voorwaarden van deze deal op de actiepagina.