Malware kradoucí data ze screenshotů objeven v App Storu – první případ svého druhu

Experti na bezpečnost odhalili, že hackeři cílí na aplikace v App Storu, aby šířili malware kradoucí informace z uložených screenshotů. Tento útok představuje nový, sofistikovaný typ kybernetické hrozby.

Na rozdíl od typických trojských koní nebo spyware, které se spoléhají na sociální inženýrství k získání uživatelských oprávnění, se tento malware ukrývá uvnitř zdánlivě legitimních aplikací a proklouzává bezpečnostními kontrolami Applu i Googlu. Podle výzkumníků z Kaspersky je tato malwarová kampaň pokročilejší jak v mechanismu fungování, tak v metodě šíření.

Jedním z jeho hlavních rysů je rozpoznávání optických znaků (OCR). Namísto krádeže uložených souborů skenuje screenshoty uložené na zařízení, extrahuje text a posílá informace na vzdálené servery. Malware pracuje nenápadně, často se aktivuje až po době spánku, aby se vyhnul podezření. Používá šifrované komunikační kanály, čímž ztěžuje trasování.

Šíření probíhá skrze klamavé aktualizace nebo skrytý kód uvnitř závislostí aplikací. Na iOS se malware často vkládá do aplikací, které zpočátku projdou přísným schvalovacím procesem Applu, ale později zavádí škodlivé funkce prostřednictvím aktualizací. Na Androidu může malware využívat alternativní instalace aplikací (sideloading), ale i oficiální aplikace z Google Play obsahovaly tyto škodlivé součásti, někdy skryté v SDK (sady nástrojů pro vývoj softwaru) dodávaných třetími stranami.

Ukradnuté informace zahrnují fráze pro zotavení kryptopeněženek, přihlašovací údaje, platební detaily, osobní zprávy, polohu a dokonce biometrické identifikátory. Některé verze jsou navrženy tak, aby získávaly autentizační tokeny, což útočníkům umožňuje přístup k účtům i po změně hesel.

Mezi aplikacemi sloužícími jako nosiče malwaru jsou ComeCome, ChatAi, WeTink, AnyGPT a další. Jedná se o aplikace z různých oblastí – od produktivity přes zábavu až po nástroje. V některých případech si tvůrci aplikací jsou malwaru plně vědomi, v jiných se jedná o zranitelnost dodavatelského řetězce, kdy legitimní vývojáři nevědomky integrují kompromitované SDK nebo služby třetích stran.

Apple odstranil 11 iOS aplikací zmíněných v Kasperskyho zprávě z App Storu a zjistil, že sdílely kódové podpisy s dalšími 89 aplikacemi, které byly dříve odmítnuty nebo odstraněny kvůli porušení pravidel Applu. Byly tak zrušeny účty jejich vývojářů.

Google uvádí, že všechny identifikované aplikace byly z Google Play odstraněny a vývojáři zablokováni. Uživatelé Androidu jsou automaticky chráněni Google Play Protect, který je ve výchozím nastavení zapnutý na zařízeních s Google Play Services. Je však důležité poznamenat, že Google Play Protect není vždy stoprocentně spolehlivý.

Doporučení pro ochranu:

• Používejte silný antivirový software.
• Stáhněte si aplikace pouze od důvěryhodných vývojářů.
• Pečlivě zkontrolujte oprávnění aplikací.
• Udržujte svůj systém a aplikace aktualizované.
• Buďte opatrní u aplikací slibujících příliš mnoho.

Tento případ zdůrazňuje potřebu přísnějších kontrolních procesů a větší transparentnosti ze strany obchodů s aplikacemi ohledně bezpečnostních rizik. Ačkoliv Apple a Google škodlivé aplikace odstranily, jejich přítomnost v obchodech odhaluje mezeru v existujícím bezpečnostním rámci.