App Store再次出現資料盜竊木馬程式,已被研究人員命名為「SparkKitty」,但不要被可愛的名字所欺騙,它其實是專門盜竊受害者智能電話內的照片的木馬程式,用戶稍一不慎便會被它的利爪傷害。
SparkKitty的散播方法
SparkKitty的主要散播方法分為兩種,第一種是透過官方的Apple App Store,惡意程式藏身於「币coin」應用程式內,表面上它是一款追蹤加密貨幣匯率和交易訊號的工具,研究人員並不清楚惡意行為如何被放入應用程式,是通過供應鏈攻擊入侵,連開發人員也不察覺SparkKitty,還是開發者故意把盜竊工具放入應用程式。在Google Play的情況則有所不同,研究人員在一款具備加密交易的通迅應用程式內偵測到惡意活動,安裝次數已超過1萬次,幸好在研究其間應用程式已從Google Play下架。
第二種散播方式是通過網絡上的可疑連結,研究人員在進行例行審查時發現了數個類似網頁,表面上是散播Android用的TikTok模塊,其中一個主要部份名為「additional code」,它吸引了研究人員的注意,然後發現編碼把連結在應用程式中顯示為按鍵,全部導引用戶至一個名為TikToki Mall的網上商店,有各式各樣的東西出售,可惜研究人員無法判斷它是否合法商店,但TikToki Mall接受加密貨幣支付,而且需要邀請碼才能登記及支付,除此之外現階段並沒有發現可疑活動,也沒有SparkKitty和其他惡意程式的蹤跡。隨後研究人員嘗試不同的方法,當使用iPhone點擊相同的可疑連結時,便會被帶到一個與App Store相似的網頁,並且立即提示下載「TikTok」。
安裝過程也有點特別,一般情況下只要在App Store點擊安裝就可以,但在這個個案內,安裝假TikTok需要額外步驟和安裝開發者設定檔。很自然,這個版本的TikTok並沒有有趣的影片,它只是另一家商店,與Android版本相似,儘管看似無害,但是它每次開啟都要求存取用戶的相片簿,這正是惡意的部份,它會從受害者電話發送相片和裝置資料到攻擊者手上。而且在其他Android應用程式也找到它的蹤跡,詳細資料可瀏覽Securelist。
誰有潛在風險?
這次活動的主要目標是東南亞和中國的用戶,不過其他國家也可能受到SparkKitty魔爪的影響,惡意程式自2024年初開始散播,在一年半後攻擊者很可能會拓展市場,而且並非只有TikTok模塊需要小心,研究人員在不同的賭博、成人遊戲及加密貨幣相關應用程式都找到它的蹤影。SparkKitty上載的相片可能包含用戶記錄的敏感資料相片,例如加密錢包的seed phrase,這讓攻擊者能盜竊用戶的加密貨幣。
防禦SparkKitty
SparkKitty以多種方式散播,雖然防禦的黃金定律是從官方來源下載,但Google Play和App Store偶爾也會發現惡意程式,所以用戶自己要額外注意。我們建議聚焦於保護智能手機的相薄,把有價值的相片放入「保險庫」,在觀看和傳送之前都需要輸入密碼。Android用戶也可以利用防毒軟件移除惡意程式, iOS版由於封閉式架構,雖然無法掃描和刪除已安裝的被感染應用程式,但可以預防資料發送到攻擊者伺服器。
資料來源:Kaspersky Blog
