Nieuwe SparkKitty-malware op Android en iOS steelt al je foto’s om geld te verdienen
Het is de hackers overigens niet te doen om vakantiekiekjes. De SparkKitty-malware maakt gebruik van optical character recognition (OCR) om tekst in foto’s te herkennen. Concreet zoeken de aanvallers naar inloggegevens van cryptoportemonnees. De aanvallen lijken zich te richten op Android– en iOS-gebruikers in Zuidoost-Azië en China, maar ook gebruikers in de Benelux, Denemarken en Zweden worden geviseerd, benadrukt Kaspersky.
Malware in de Play Store
Om slachtoffer te worden van de aanval hoefde je geen app van buiten de Google Play Store te downloaden. Verschillende apps in Googles appwinkel bleken geïnfecteerd met de SparkKitty-malware, waaronder de berichtendienst SOEX, die op het moment van ontdekking al ruim 10.000 keer was gedownload.
Via websites gelieerd aan de hackers vonden de onderzoekers ook geïnfecteerde APK-bestanden van dezelfde ‘bekende’ apps. Deze apps werden via diverse kanalen gepromoot, waaronder YouTube. Opvallend is dat de apps vaak werkten zoals verwacht: na installatie kregen gebruikers toegang tot alle functies die in de beschrijving stonden. Wat zij echter niet wisten, was dat hun afbeeldingen en apparaatgegevens op de achtergrond werden geëxporteerd.
Malafide TikTok-app op iOS
Ook op iOS hoefde je de App Store niet te verlaten om in de val te worden gelokt. Hackers plaatsten een neppe crypto-app in de appwinkel, gericht op Chinese gebruikers. Functioneel was de malware op iOS identiek: ook daar werden zowel afbeeldingen als apparaatgegevens buitgemaakt.
Naast malware in de App Store wisten de aanvallers ook slachtoffers te misleiden via webpagina’s die de App Store nabootsten. Via deze sites boden ze bijvoorbeeld nep-TikTok-apps aan. Naast het stelen van afbeeldingen en andere gegevens bevatte deze apps zelfs een extra winkelfunctie waarmee gebruikers zogenaamd items konden kopen met cryptovaluta.
Om de beveiliging van iOS te omzeilen maakten de hackers gebruik van een ontwikkelfunctie waarmee apps op iOS kunnen worden geïnstalleerd zonder eerst het verificatieproces van de App Store te doorlopen.
Verwijder malafide apps onmiddellijk
Kaspersky raadt gebruikers aan te controleren of zij mogelijk een malafide app op hun toestel hebben geïnstalleerd. Is dat het geval, dan wordt geadviseerd deze direct te verwijderen. Daarnaast adviseert de beveiligingsspecialist om geen gevoelige informatie, zoals wachtwoorden, op te slaan in screenshots, om dit soort aanvallen te voorkomen.
Apple en Google zijn inmiddels op de hoogte gebracht van de SparkKitty-malware in respectievelijk de App Store en Play Store. Google heeft de app intussen verwijderd van zijn appwinkel. Zelfs als dat het geval is, blijft het noodzakelijk om kritisch te blijven bij het installeren van apps van buiten de officiële appwinkels. Tenzij je écht zeker bent van de bron, is het beter om dergelijke apps te vermijden.
