Новий iPhone, попередження Android – не використовуйте жодного з цих додатків

Нове тривожне попередження для користувачів iPhone та Android щойно потрапило в користувачів, із фірмою з кібербезпеки попереджає, що додатки як в Play Store Google, так і в магазині додатків Apple були заражені «зловмисним» кодом, який дозволяє зловмисникам порожні криптовалюти.

Це ще один випадок створених SDK, що пошкоджують справжні додатки, що підписують на пристрої користувачів. І це працює. Касперський каже, що, хоча «заражені програми завантажували понад 242 000 разів з Google Play. Це перший відомий випадок, коли стилер потрапив у магазин додатків ». Я підійшов до Google, і Apple для будь -якої відповіді на новий звіт та підтвердження того, що заражені програми були виправлені.

ФорбесЗабудьте до Дога – хакери -крипто додають підроблених нюхів Трампа до своїх постів на Musk's xЗа Мішок

Зловмисний код працює за допомогою OCR для сканування галереї зображень пристрою для потенційних слів і фраз на декількох мовах, які можуть бути секретними кодами для доступу або відновлення гаманців на пристрої. Це, каже Касперський, – це гра на тип нападу, про який повідомляв ESET у 2023 році, де десятки Telegram та WhatsApp Copycats розгорнуті Clippers для викрадення вмісту буфера обміну для доступу до гаманців. Але ESET також виявив деякі програми CopyCat “Використання оптичного розпізнавання символів (OCR) для розпізнавання тексту з скріншотів, що зберігаються на компрометованих пристроях, що є ще одним для зловмисного програмного забезпечення Android.” Це еволюція на цю загрозу, і зараз це набагато гірше.

Касперський каже, що «вдалося встановити мотивацію нападників – зловмисників вкраде фрази для відновлення доступу до криптовалют, яких достатньо, щоб отримати повний контроль над гаманцем жертви для подальшої крадіжки коштів». Дослідники виявили нову атаку наприкінці 2024 року, але частина коду була розгорнута набагато раніше.

«Зловмисне програмне забезпечення, яке ми назвали Sparkcat, використовували невстановлений протокол, реалізований мовою іржі, що рідко для мобільних додатків для взаємодії з С2. Відповідно до штампів часу у файлах зловмисних програм та дати створення файлів конфігурації у сховищах на Gitlab, Sparkcat активна з березня 2024 року. “

Загроза міжнародна, з “першою програмою, яка здавалася нам підозрілій для нас, – це заявка на доставку їжі в ОАЕ та Індонезію під назвою Comecome (назва пакету – com.bintiger.mall.android)”, і можна очікувати, що вона пошириться швидко. Зловмисне програмне забезпечення може завантажувати «різні моделі OCR залежно від мови системи для розрізнення латинських, корейських, китайських та японських персонажів на знімках».

Хоча це, здається, заразило більше Android, ніж додатки для iPhone, Касперський каже, що «App Store має додатки iOS, заражені шкідливими рамками з тим самим троянським. Наприклад, додаток для доставки продуктів харчування для iOS було заражено, як і його версія Android. Це перший відомий випадок OCR Spy в офіційному магазині Apple ».

Заражені програми можна знайти у звіті Касперського, і всі, ймовірно, будуть виправлені зараз ці висновки. Назви пакетів наведені нижче – варто сканувати, чи визнаєте ви будь -яке з імен, які можуть бути встановлені на вашому телефоні.

“Назви пакетів заражених програм Android з Google Play
com.crownplay.vanity.address
com.atvnewsonline.app
com.bintiger.mall.android
com.websea.exchange
org.safew.messenger
org.safew.messenger.store
com.tonghui.paybank
com.bs.feifubao
com.sapp.chatai
com.sapp.starcoin

Bundleids зашифровані в тілі iOS -рамок
im.pop.app.ios.messenger
com.hkatv.hkatv.
com.atvnewsonline.app
io.zorixchange
com.yykc.vpnjsq
com.llyy.au
com.star.har91vnlive
Com.jhgj.jinhulaab
com.qingwa.qingwa888lalaaaaa
com.blockchain.uttool
com.wukongwaimai.client
com.unicornsoft.unicornhtpsforios
персонал.mil.coinpark
com.lc.btdj
com.baijia.waimai
Com.ctc.jirepaidui
com.ai.gbet
app.nicegram
com.blockchain.ogiut
com.blockchain.98ut
com.dream.towncn
com.mjb.hardwood.test
com.galaxy666888.ios
njiujiu.vpntest
com.qqt.jykj
com.ai.sport
com.feidu.pay
app.ikun277.test
com.usdtone.usdtoneapp2
com.cgapp2.wallet0
com.bbydqb
com.yz.byteswap.native
jiujiu.vpntest
com.wetink.chat
com.websea.exchange
com.customize.authenticator
im.token.app
com.mjb.worldminer.new
com.kh-super.ios.superapp
com.thedgptai.event
com.yz.eternal.new
xyz.starohm.chat
com.crownplay.luckyaddress1 ”

ФорбесРішення про оновлення Samsung – мільйони власників Galaxy потребують нового телефонуЗа Мішок

Якщо у вас є якісь програми, видаліть їх та перевстановлюйте при оновленні – безумовно, не використовуйте їх. “Троян особливо небезпечний, оскільки ніщо не видає шкідливий імплантат всередині програми”, – говорить Касперський. “Дозвіл, які вимагають його, можуть бути використані в основній функціональності програми або здатися, здавалося б, нешкідливими, а зловмисне програмне забезпечення працює досить таємно”.

Інша порада Касперського буде для багатьох закликів. “Не зберігайте скріншоти з конфіденційною інформацією в галереї, включаючи фрази для відновлення доступу до гаманців криптовалют”. Натомість, в ньому сказано: “Паролі, конфіденційні документи та інші конфіденційні дані можуть зберігатися в спеціальних програмах”.

Здоровий глузд, але я впевнений, що більшість із нас компрометують слова та фрази в наших галереях зображень, які ми зберегли як швидке нагадування. Щось подумати зараз.