Пропажа в галерее: найден первый вирус, ворующий данные с фото в iPhone
Эксперты обнаружили первый вирус, который может проникать в галерею на iPhone и красть данные с фото. Программу заметили в 20 поддельных приложениях, скачанных из официальных App Store и Google Play, поэтому владельцы телефонов на платформе Android тоже находятся под угрозой. «Известия» выяснили, чем опасен новый троянец и как защититься от него.
Новый троянец
Первый вирус, который ворует данные с фото в iPhone, обнаружили специалисты «Лаборатории Касперского». Вирус, получивший название SparkCat, заметили в поддельных приложениях, скачанных из официальных App Store и Google Play, рассказали «Известиям» в компании.
Неизвестный ранее троянец присутствовал в 20 разных программах: мессенджерах, ИИ-ассистентах, приложениях для доставки еды и для доступа к криптобирже (в них вирус может красть данные криптокошельков). Эксперт по кибербезопасности Сергей Пузан назвал это первым случаем интеграции вредоносной программы, крадущей данные пользователя, в приложениях в официальном App Store.
— Эта кампания разрушает стереотипы о том, что вредоносных приложений под iOS не существует, а Android-угрозы не актуальны для владельцев устройств Apple, — добавил эксперт по кибербезопасности «Лаборатории Касперского» Дмитрий Калинин.
Компания уведомила Google и Apple о наличии вредоносных приложений. При этом SparkCat продолжает распространяться на неофициальных площадках.
Как работает вирус
По мнению экспертов, пока атаки нового вируса нацелены преимущественно на пользователей Android- и iOS-смартфонов в ОАЭ, странах Европы и Азии. Но специалисты не исключают, что с подобной киберугрозой могут столкнуться люди и в других регионах, в том числе в России. Программы, в которые был встроен вредоносный модуль, скачали более 242 тыс. раз только из Google Play.
Как пояснили в ЛК, проникая в телефон, SparkCat запрашивает доступ к просмотру фото. Дальше вирус анализирует текст на изображениях в галерее, используя модель оптического распознавания символов (OCR).
— Если стилер обнаружит ключевые слова, то отправляет картинку злоумышленникам. Цель атакующих — найти фразы для восстановления доступа к криптокошелькам, чтобы заполучить цифровые активы жертв. Кроме того, зловред может красть и другие данные, например содержание сообщений или пароли, если они есть на скриншотах, — сообщили «Известиям» в «Лаборатории Касперского».
Пока у экспертов нет сведений о том, как программы попали в официальные магазины — были ли они заражены в результате атаки на цепочку поставок или же разработчики намеренно встраивали троянца. По словам Сергея Пузана, некоторые сервисы, например доставки еды, «выглядели вполне легитимными, тогда как другие, очевидно, были приманкой».
— Опасность троянца именно в том, что он смог проникнуть в официальные маркеты. При этом разрешение на чтение галереи, к которой зловред пытается получить доступ, необходимо для корректной работы приложения и запрашивается в необходимых для этого местах, например при обращении в службу поддержки. Это может усыплять бдительность как модераторов на официальных площадках, так и пользователей, — заключил Сергей Калинин.
Опасность схемы
Схемы с использованием зловредного кода, маскирующегося под реальные приложения, не новы — такие случаи уже встречались ранее. В этом же кейсе можно выделить две особенности, отметил в беседе с «Известиями» ведущий эксперт отдела разработки и тестирования компании «Код безопасности» Александр Самсонов.
— Во-первых, это первый зафиксированный случай, когда вредоносное приложение проникло и распространялось через App Store. И это нонсенс, поскольку все программы, попадающие в официальные магазины приложений, проходят тщательные проверки, поэтому данный инцидент может сильно сказаться на репутации App Store и Google Play, — сказал эксперт. — Во-вторых, интересен сам подход к выбору вектора атаки. Целью стали сохраненные на устройстве изображения.
После получения доступа к галерее вредонос производит анализ изображений на предмет наличия на них текста со значимой информацией, касающейся доступа к онлайн-сервисам (криптокошелькам) пользователей. То есть троянец настроен именно на поиск сведений, которые дадут доступ к финансовым активам жертвы, через скриншоты, что не очень типично для ВПО.
Как объясняет эксперт, загрузка вируса в телефон опасна для человека в любом случае — независимо от того, есть у его криптокошельки или нет. В гаджетах хранится почти вся информация о владельце: документы, данные банковских счетов, личные фото и видео — всё это может быть скомпрометировано.
— Самые очевидные угрозы: возможность шантажа, если злоумышленники получат фото интимного характера, а также кража финансовых данных, ведь многие фотографируют пароли, делают скрины паспорта, — пояснил Самсонов.
По его словам, сама по себе схема с анализом приложений тоже новая. До этого фиксировались только случаи проникновения вредоносного ПО в магазины, которые отслеживали геолокацию, записывали звук с микрофона, передавали на сервера фото- и видеоинформацию пользователя. И это тоже несло множество угроз для него.
Способы защиты
Эксперты рекомендуют использовать надежное защитное решение на всех своих устройствах, в том числе iOS- и Android-смартфонах. Также важно следить за тем, что хранится в галерее, — удалять компрометирующие фото и картинки с важными данными.
— Не стоит хранить в галерее скриншоты с конфиденциальной информацией. Лучше использовать для этого специальные программы — менеджеры паролей, — подчеркнул Сергей Пузан.
Кроме того, добавил эксперт «Кода безопасности» Александр Самсонов, нужно устанавливать приложения только из официальных магазинов. Несмотря на то что и в них, как видно из примера, могут попадаться зловредные программы, степень проверки приложений находится на высоком уровне. При установке программ из неофициальных источников шанс «нарваться» на нежелательное ПО значительно выше.
Перед скачиванием программы важно обращать внимание на отзывы пользователей и рейтинг приложения, а также проверять ссылки в официальных источниках.
— И наконец по возможности нужно ограничивать разрешения, которые требуют приложения. Если ПО запрашивает больше того, что предполагается функциональностью (зачем «фонарику» геолокация?), то это повод насторожиться, — отметил Самсонов.
Если человек скачал зараженное приложение (об этом могут говорить необычно высокое потребление заряда батареи, замедление работы устройства, внезапные сбои, всплывающие окна), интернет-аналитик компании «Газинформсервис» Марина Пробетс посоветовала удалить ПО, перезагрузить телефон, а затем полностью просканировать гаджет с помощью антивирусного решения.
