Kaspersky treft voor het eerst iOS-app met cryptostealer in App Store aan

Beveiligingsonderzoekers van Kaspersky hebben een nieuwe malwarecampagne aangetroffen, waarbij aanvallers via apps proberen cryptovaluta te stelen. Het is volgens de onderzoekers voor het eerst dat een dergelijke 'stealer' aangetroffen wordt in de App Store van Apple.

De campagne wordt door de onderzoekers SparkCat genoemd en is al sinds maart 2024 actief. Diverse Android- en iOS-apps bleken een zogenaamde ocr-plug-in te bevatten, waarmee de inhoud van screenshots gestolen kan worden. De apps probeerden specifiek herstelzinnen voor cryptowallets op te sporen, zodat de aanvallers achter SparkCat cryptovaluta uit die wallets kunnen stelen.

De plug-ins voor Android en iOS hebben volgens de onderzoekers een vergelijkbaar ontwerp en zijn beide gemaakt met de ML Kit-library van Google. De geïnfecteerde app vraagt gebruikers toestemming om foto's te bekijken. Als die gegeven wordt, kan de plug-in tekst in afbeeldingen in de galerij lezen en herkennen. Als de inhoud van een afbeelding overeenkomt met door de aanvallers meegegeven sleutelwoorden, dan wordt die naar de server van de aanvaller gestuurd.

De apps werden verspreid via zowel de officiële appwinkels van Google en Apple als onofficiële appwinkels. De geïnfecteerde apps die via Google Play werden verspreid zijn volgens Kaspersky ruim 242.000 keer gedownload. Hoe vaak de apps die via de App Store verspreid werden zijn gedownload, is niet bekendgemaakt. Wel meldt Kaspersky dat Apple de apps in kwestie uit de App Store heeft verwijderd.

De onderzoekers adviseren gebruikers om geen screenshots te maken van gevoelige informatie zoals wachtwoorden of herstelzinnen van cryptowallets. Gebruikers wordt verder geadviseerd om te controleren of ze een geïnfecteerde app geïnstalleerd hebben. Kaspersky heeft op zijn website een lijst met geïnfecteerde iOS-frameworks en Android-sdk's gedeeld, samen meer informatie over de malware.

Door Eveline Meijer

Nieuwsredacteur

Feedback • 06-02-2025 14:33
22 • submitter: TheVivaldi

06-02-2025 • 14:33

22

Submitter: TheVivaldi

Lees meer

Australië verbiedt Kaspersky-software voor overheidsgebruik
Australië verbiedt Kaspersky-software voor overheidsgebruik Nieuws van 24 februari 2025
WhatsApp: Israëlisch spywarebedrijf probeerde zo'n negentig gebruikers te hacken
WhatsApp: Israëlisch spywarebedrijf probeerde zo'n negentig gebruikers te hacken Nieuws van 31 januari 2025
Google verwijderde vorig jaar opnieuw meer apps uit Play Store
Google verwijderde vorig jaar opnieuw meer apps uit Play Store Nieuws van 31 januari 2025
Google verwijdert per ongeluk Chrome-extensie in plaats van malafide kopie
Google verwijdert per ongeluk Chrome-extensie in plaats van malafide kopie Nieuws van 1 januari 2025
Amnesty: Servië gebruikt eigen spyware om te spioneren op Android-telefoons
Amnesty: Servië gebruikt eigen spyware om te spioneren op Android-telefoons Nieuws van 16 december 2024
Apple wil rechtszaak tegen spywaremaker NSO terugtrekken
Apple wil rechtszaak tegen spywaremaker NSO terugtrekken Nieuws van 16 september 2024
Google Pixel-telefoons bevatten kwetsbaarheid door verborgen Android-app
Google Pixel-telefoons bevatten kwetsbaarheid door verborgen Android-app Nieuws van 15 augustus 2024
Apple waarschuwt iPhone-gebruikers in 98 landen voor mogelijke spyware-infecties
Apple waarschuwt iPhone-gebruikers in 98 landen voor mogelijke spyware-infecties Nieuws van 11 juli 2024
'Israëlische inlichtingendiensten luisteren Internationaal Strafhof af'
'Israëlische inlichtingendiensten luisteren Internationaal Strafhof af' Nieuws van 29 mei 2024
NSO Group moet broncode van Pegasus-spyware delen met WhatsApp
NSO Group moet broncode van Pegasus-spyware delen met WhatsApp Nieuws van 2 maart 2024
Meer producten en artikelen
Beveiliging en antivirus Apple Google Android iOS App store Cybercrime Malware

Reacties (22)

-Moderatie-faq
22
22
12
2
0
5
Wijzig sortering

Sorteer op:

Weergave:
John Doos 6 februari 2025 14:51
Is er ook bekend hoe die apps (hebben) (ge)heten?
Lijkt me toch wel relevante info.

EDIT:
Aaah als je de link in het artikel volgt, zat het blijkbaar bij Android tenminste, in de apps genaamd: ComeCome-Chinese Food Delivery(10k+ downloads), een app genaamd ChatAI(50k+ downloads), bij de Appstore van Apple: ComeCome-Chinese Food Delivery, WeTink, AnyGPT. Wel allemaal afkomstig van dezelfde developer blijkbaar: AI Learning & Tech Solutions Limited. (prachtige website overigens)

Het advies vanuit securelist:
If you have one of the infected apps installed on your device, remove it and avoid reinstalling until a fix is released. Avoid storing screenshots with sensitive information, such as crypto wallets recovery phrases, in the gallery. You can store passwords, confidential documents and other sensitive information in special apps. Use a robust security product on all your devices.

Our security products return the following verdicts when detecting malware associated with this campaign:

HEUR:Trojan.IphoneOS.SparkCat.*
HEUR:Trojan.AndroidOS.SparkCat.*

[Reactie gewijzigd door John Doos op 6 februari 2025 15:01]

Christoxz @John Doos6 februari 2025 14:55
Staat inderdaad in de bron, maar is een aardige lijst om in het artikel te verwerken..
John Doos @Christoxz6 februari 2025 14:58
Het zijn allemaal apps van dezelfde developer, er had op zijn minst gewaarschuwd kunnen worden voor de Dev. Er staat verder ook niet vermeld of het niet nogmaals kan gebeuren, er staat enkel vermeld dat specifieke apps verwijderd zijn uit de marketplaces. Dit zou kunnen inhouden dat de developer morgen dus gewoon nieuwe apps, met nieuwe code kan uploaden.
Christoxz @John Doos6 februari 2025 15:03
Het zijn meerdere developers.
Zo was ComeCome zowel als in de Play store als App store besmet, en dat is een andere ontwikkelaar dan "AI Learning & Tech Solutions Limited."

Het zijn meer apps, dan in de bron gebruikt worden als voorbeeld. Onderaan kan je een hele lijst vinden met apps, waarbij de framework is aangetroffen.
Qwerty-273 @John Doos6 februari 2025 15:26
Jammer dat het advies niet ingaat om niet zomaar blind alle permissies toe te wijzen die een app vraagt. Zeker op iOS is het standaard de keuze om volledige of gedeeltelijke toegang te geven tot de foto's. Bij gedeeltelijk selecteer je alleen de foto's die je met die app wilt delen.

De pop-up blindheid die de meeste mensen hebben, en daarom maar op OK drukken, is onhandig omdat mensen niet meer nadenken over waar ze nou eigenlijk ok tegen zeggen. Waarom zou een "food delivery" app toegang moeten hebben tot je volledige fotoalbum?
Stukfruit @Qwerty-2736 februari 2025 17:27
Jammer dat het advies niet ingaat om niet zomaar blind alle permissies toe te wijzen die een app vraagt.
Voor Android via de Play Store wordt niet meer gevraagd om akkoord te gaan met permissies zoals dat jaren geleden wel werd gedaan.

Waarschijnlijk om eindgebruikers aan te moedigen zoveel mogelijk te installeren (want winst).

Alleen binnen apps zie je het nog wel eens gevraagd worden, maar de gemiddelde gebruiker begrijpt niet waar zo'n dialoog vandaan komt en klikt daarom op OK.

[Reactie gewijzigd door Stukfruit op 6 februari 2025 17:28]

- peter - @Stukfruit6 februari 2025 18:01
Alle permissies zijn tegenwoordig runtime, althans de gevoelige. Wel een verbetering denk ik, al is t confronterender en dus soms beter als bij installatie je er al mee geconfronteerd word. Maar qua flexibiliteit is t wel handiger. Als t een optionele feature is om iets op te slaan hoef je nu geen permissie aan iedereen te vragen vooraf. Maar alleen als t daadwerkelijk gewenst is.
d3x @Stukfruit7 februari 2025 07:51
In android zit ook een machtegings systeem om automatisch bij niet gebruik rechten weg te nemen.

Binnen apps wordt het altijd gevraagd als het nodig is, dat is nu eenmaal het systeem. Zelfde manier van werken, bij eerste opstart of net na/tijdens installatie = zelfde resultaat.
Stukfruit @d3x7 februari 2025 09:09
Maar dat is niet wat ik probeer te zeggen.

Toen het nog tijdens de installatie werd gevraagd was het duidelijk onderdeel van het installatieproces.

Tegenwoordig komen de popups "zomaar" tevoorschijn en is het voor mensen vaak echt niet duidelijk wat het is. Jij en ik herkennen het, veel mensen niet omdat ze geen weet hebben van de basisconcepten; de gemiddelde persoon heeft zelfs geen idee hoe de terugknop werkt(e).

Subtiel verschil, grote gevolgen.

[Reactie gewijzigd door Stukfruit op 7 februari 2025 10:37]

HitDyl 6 februari 2025 15:08
Vernuftig bedacht. Maar je kan je hier wel goed tegen beschermen in IOS en wellicht dat het ook in Android kan. Maar in IOS kan je toegang geven tot je fotos, maar beperken tot een selectie (kan ook een lege selectie zijn). Dit doe ik altijd zodat apps geen toegang hebben tot al mijn foto's. Maar zodat het wel bijvoorbeeld foto's kan opslaan of zien die ik selecteer.

Je moet altijd zelf blijven nadenken, denk ik dan. Bijvoorbeeld ook als een onzinnige app vraagt om je klemboard uit te lezen. Gewoon niet doen.
controvi @HitDyl6 februari 2025 15:16
In android is dat inderdaad ook.
Daar kun je dan ook slecteren welke foto's en afbeeldingen je wilt delen met apps
Luminair @HitDyl6 februari 2025 15:55
Je moet altijd zelf blijven nadenken, denk ik dan. Bijvoorbeeld ook als een onzinnige app vraagt om je klemboard uit te lezen. Gewoon niet doen.
Ik vind dat dit, tot op zekere hoogte, onrealistisch is om van consumenten te verwachten. Wij als Tweakers snappen de onderliggende processen, en waarom er gevraagd wordt om toestemming, maar een typische gebruiker denkt daar niet over na. Die krijgen popup na popup, en klikken op 'akkoord', want dat "heeft zo'n app nodig, anders werkt het misschien niet".

Volgens mij mogen ze bij Apple/Google best strenger zijn in het weggeven van de entitlement voor apps om ook maar te vragen naar toestemming voor alle foto's. Ik krijg wel eens zo'n dialog, maar dat staat er niet eens een beschrijving bij met de reden waar dat voor nodig is. Ik heb toevallig zelf een iOS app gemaakt die vraagt naar kalenderdata, en daarbij moest ik verschillende hoepels door springen voordat ik om toestemming mocht vragen. Dat lijkt mij niet meer dan logisch, en ik snap niet dat Alle Foto's niet als gevoelige data wordt behandelt.
blorf 6 februari 2025 15:49
Misschien een idee om apps te beperken tot de internetverbindingen die ze zelf zeggen nodig te hebben? Nog een stap verder is per app in- en uitgaande data profileren en alles wat daarvan afwijkt offline halen.

[Reactie gewijzigd door blorf op 6 februari 2025 15:53]

Kroesss @blorf6 februari 2025 15:54
Ik vind het wel een gemis dat je in normaal Android niet het internetverkeer voor een app totaal af kunt sluiten. Er zijn genoeg apps die geen enkele toegang nodig hebben, maar dit wel voor van alles en nog wat vragen. Vroeger kon je dat doen in Android, maar in de huidige versies niet meer.
blorf @Kroesss6 februari 2025 15:58
Het is doelbewust vaag gehouden ten bate van intrusieve reclame-taktieken. Android en iOS zijn techisch gezien malware.
Kroesss @blorf6 februari 2025 15:59
Ja, ik snap de achterliggende motivatie wel inderdaad. Maar toch irritant, vooral omdat het vroeger dus wel kon.
blorf @Kroesss6 februari 2025 16:08
Vooral frustrerend dat mensen die zooi blijven accepteren. Met de situatie nu zouden we collectief klaar moeten zijn met Amerikaanse besturingssystemen.
Vhond 6 februari 2025 16:14
Kaspersky heeft op zijn website een lijst met geïnfecteerde iOS-frameworks en Android-sdk's gedeeld, samen meer informatie over de malware.
ben wel benieuwd naar de bijbehorende url.
xoniq 6 februari 2025 16:48
Gewoon geen willekeurige photo/camera apps gebruiken voor OCR. Op iOS gewoon enkel gebruik maken van de ingebouwde foto’s app of Google Photos en ingebouwde camera.

Vooral op iOS (ik heb alleen een nieuwere iPhone en oude Android dus weet niet hoe dat momenteel is) kan je gewoon uitstekend OCR doen zelfs van slechte kwaliteit tekst in de camera én Foto’s app.
smiba @xoniq7 februari 2025 07:17
Ik denk dat je het bericht verkeerd begrepen hebt, de aangeboden malafide apps hebben niets met OCR zelf te maken. Ze vragen aan de gebruiker toegang tot de fotos op het apparaat, en gaan dan stiekem je fotos OCR'en om crypto keys te vinden.

De OCR is de methode van informatie vergaren door de malware, maar is niet waar de gebruiker de app voor heeft geïnstalleerd
xoniq @smiba7 februari 2025 09:19
Ah dan heb ik het verkeerd begrepen inderdaad. Ik dacht dat het om willekeurige foto / camera apps ging.

Dan blijft m’n advies toch staan, plus als je een app gebruikt die foto’s moet gebruiken voor whatever reason (zoals WhatsApp), en je krijgt een pop-up om aan te geven om toegang te geven tot alle foto’s op beperkte toegang, dan altijd kiezen voor beperkte toegang.

Ja dat is irritant als je een nieuwe foto wilt delen ofzo, maar garandeert wel veiligheid.
Luno 6 februari 2025 21:15
Kaspersky ontdekt zo nu dan tenminste iets. Dat de NSA en Pegasus dat niet leuk vinden is duidelijk.
Ik denk dat dit de grootste reden is dat overheden het afraden.

Op dit item kan niet meer gereageerd worden.

Apple iPhone 17 LG OLED evo G5 Google Pixel 10 Samsung Galaxy S25 Star Wars: Outlaws Nintendo Switch 2 Apple AirPods Pro (2e generatie) Sony PlayStation 5 Pro

Tweakers is onderdeel van DPG Media B.V.
Alle rechten voorbehouden - Auteursrecht © 1998 - 2025 Hosting door TrueFullstaq