کشف بدافزار جدید در گوگل‌پلی و اپ‌استور: کاربران کیف پول‌های رمز ارز در معرض خطر هستند.

اخیراً یک بدافزار جدید در اپ استور و گوگل پلی شناسایی شده است که به طور خاص به سرقت کلیدهای امنیتی کیف پول‌های رمز ارز می‌پردازد. به گزارش موسسه امنیتی کسپرسکی، این بدافزار با استفاده از فناوری OCR، تصاویر موجود در گوشی‌های کاربران را اسکن کرده و اطلاعات حساس را به سرورهای غیرمجاز ارسال می‌کند. این گزارش نشان می‌دهد که کمپین بدافزاری به نام SparkCat، از طریق انتشار اپلیکیشن‌های آلوده در دو فروشگاه بزرگ اپ استور و گوگل پلی، توانسته است دستگاه‌های کاربران را مورد هدف قرار دهد. محققان کسپرسکی با تحلیل کدهای این بدافزار متوجه شدند که این برنامه‌ها به دنبال یافتن کلیدهای امنیتی و اطلاعات مربوط به حساب‌های کاربری کیف پول‌های دیجیتال هستند. اگرچه اپل در سال‌های اخیر تلاش‌های زیادی برای افزایش امنیت فروشگاه اپلیکیشن خود انجام داده است، اما شواهد نشان می‌دهد که حتی اپ استور نیز از حملات بدافزاری مصون نیست. این موضوع به نگرانی‌های موجود در مورد امنیت کاربران دامن می‌زند. بر اساس اطلاعات منتشر شده، این کمپین از طریق کانال‌های رسمی و غیررسمی بر روی گوشی‌های کاربران نصب شده و توانسته است بیش از ۲۴۲ هزار بار بر روی دستگاه‌های اندرویدی دانلود شود. با این حال، اطلاعات دقیقی درباره میزان گسترش آن در میان محصولات اپل در دسترس نیست.
ظاهراً اپلیکیشن آلوده با استفاده از کتابخانه ML Kit گوگل به قابلیت OCR مجهز بوده است که می‌تواند به استخراج متون از عکس‌ها بپردازد. تصاویری که دارای متن‌های مشابه با کلیدهای امنیتی مرتبط با کیف پول‌های مجازی بوده‌اند، به سرورهای تحت کنترل سارقان ارسال شده‌اند. علاوه بر این، داده‌های حساس دیگری مانند رمزهای عبور و پیام‌های شخصی نیز در میان تصاویر آپلود شده وجود داشته است.

کدام برنامه‌های اپ استور و گوگل پلی آلوده هستند؟

در حال حاضر تعدادی اپلیکیشن آلوده از سوی پژوهشگران کسپرسکی به ‌صورت رسمی اعلام شده‌اند که از میان آن‌ها می‌توان به برنامه سفارش غذای ComeCome، دستیار هوش مصنوعی ChatAi و اپ‌های پیام‌رسان WeTink و AnyGPT اشاره کرد. حتی پس از گذشت چندین ساعت از انتشار گزارش مذکور، همچنان برخی از این عناوین روی گوگل پلی و اپ استور حضور دارند. جالب است بدانید که برخی از کاربران در نظرات این اپ‌ها نسبت به آلوده بودن آن‌ها هشدار داده‌اند؛ اما بازبینی لازم از سوی ناظرین انجام نگرفته است. 
بررسی‌های بیشتر نشان می‌دهد که بدافزار مذکور حداقل از مارس ۲۰۲۴ روی فروشگاه‌های رسمی اپلیکیشن گوگل و اپل حضور داشته است. با این حال، هنوز مشخص نیست که آیا این اپلیکیشن‌های آلوده از ابتدا به همین منظور طراحی شده‌اند یا دچار حمله زنجیره تأمین(Supply chain attack) گردیده‌اند. همچنین گفته شده است که کاربران اروپایی و آسیایی بیشتر مورد هدف کمپین اخیر بوده‌اند و توصیه می‌شود اگر برنامه‌های اشاره‌شده را روی دستگاه خود نصب کرده‌اید، سریعاً اقدام به حذف آن نمایید.
 

اقدامات پیشگیرانه

کارشناسان امنیت سایبری به کاربران توصیه می‌کنند تا با رعایت موارد زیر، امنیت دستگاه‌های خود را افزایش دهند:
استفاده از منابع معتبر: تنها از فروشگاه‌های رسمی و معتبر برای دانلود اپلیکیشن‌ها استفاده کنید.
بررسی نظرات و امتیازات: قبل از نصب هر برنامه‌ای، نظرات و امتیازات آن را به دقت بررسی کنید.
فعال‌سازی احراز هویت دو مرحله‌ای: برای حساب‌های کیف پول‌های دیجیتال خود، احراز هویت دو مرحله‌ای را فعال کنید.
تغییر منظم رمزهای عبور: به طور منظم رمزهای عبور خود را تغییر دهید و از رمزهای عبور قوی استفاده کنید.
بررسی مجوزهای اپلیکیشن‌ها: قبل از نصب، مجوزهای درخواستی اپلیکیشن‌ها را بررسی کنید. اگر برنامه‌ای به دسترسی غیرمعمول به گالری یا فایل‌های شما نیاز داشت، از نصب آن خودداری کنید.

این کشف تازه بار دیگر نشان می‌دهد که حتی فروشگاه‌های رسمی اپلیکیشن مانند اپ استور و گوگل پلی نیز ممکن است در معرض تهدیدات سایبری قرار بگیرند. کاربران باید همواره هوشیار باشند و از نصب برنامه‌های ناشناخته یا مشکوک خودداری کنند. همچنین، به‌روزرسانی منظم سیستم‌عامل و اپلیکیشن‌ها می‌تواند به کاهش خطرات امنیتی کمک کند. در نهایت، این رویداد یادآوری می‌کند که امنیت سایبری یک مسئله همگانی است و همه کاربران باید با آگاهی و احتیاط از دستگاه‌های خود محافظت کنند.

منبع: digiato.com