Onderzoekers van antivirusbedrijf Kaspersky hebben tientallen malafide apps ontdekt in zowel de Apple App Store als de Google Play Store die stiekem afbeeldingen van geïnfecteerde telefoons stelen. Het doel van de aanvallers lijkt vooral gericht op het bemachtigen van screenshots met seed phrases van cryptowallets, een cruciaal onderdeel om toegang tot digitale valuta te krijgen.

Malafide apps ontdekt in officiële appstores
Kaspersky’s analyse onthulde dertien schadelijke iOS-apps en zestien Android-apps, evenals verschillende kwaadaardige frameworks en libraries. Een van de ontdekte iOS-apps, vermomd als cryptogerelateerde tool, bleek foto’s en andere afbeeldingen naar een server van aanvallers te uploaden. Hoewel het exacte aantal downloads onbekend is, meldt Kaspersky dat een vergelijkbare malafide Android-app meer dan 10.000 keer was geïnstalleerd voordat deze werd ontdekt.

Apple is door Kaspersky geïnformeerd over de schadelijke app, maar volgens de onderzoekers was deze ten tijde van publicatie nog steeds beschikbaar in de App Store. Google heeft naar verluidt wel actie ondernomen tegen de betreffende Android-apps.

Valse App Store en getrojaniseerde TikTok-app
Naast directe appstore-uploads ontdekten onderzoekers een tweede verspreidingsmethode: een nagemaakte Apple App Store-website die een geïnfecteerde versie van TikTok aanbiedt. Gebruikers worden hier verleid om een Enterprise profile te installeren, een systeem dat normaal gesproken bedoeld is voor bedrijven om interne apps te distribueren. Via dit profiel installeert de malafide TikTok-app zich en vraagt bij elke start om toegang tot de fotogalerij, waarna gevoelige afbeeldingen worden geëxporteerd.

Doelwit: crypto- en gokgebruikers in Azië, maar risico wereldwijd
De schadelijke code werd niet alleen in cryptogerelateerde apps gevonden, maar ook in Chinese gok-apps en adult games. Volgens Kaspersky richten de aanvallers zich vooral op gebruikers in China en Zuidoost-Azië, maar er zijn geen technische beperkingen die aanvallen in andere regio’s voorkomen.

De onderzoekers zagen overlap met eerdere malafide apps die eerder dit jaar in beide appstores opdoken. Deze apps waren eveneens gericht op het stelen van screenshots met seed phrases of recovery phrases—een reeks woorden die toegang geven tot een cryptowallet. Sommige gebruikers slaan deze phrases op als screenshot, wat een groot veiligheidsrisico vormt als hackers deze weten te bemachtigen.

Eerder dit jaar, in april, werd ook al een malafide WhatsApp-versie voor Android ontmaskerd die hetzelfde doel had: het stelen van crypto-sleutels via screenshots.

Waarschuwing voor gebruikers
Kaspersky adviseert gebruikers om voorzichtig te zijn met het verlenen van app-machtigingen, vooral voor toegang tot de fotogalerij. Daarnaast raadt het bedrijf aan om seed phrases nooit digitaal op te slaan, maar deze op papier te bewaren. Gebruikers wordt aangeraden alleen apps uit officiële bronnen te downloaden en verdachte app-verzoeken te vermijden.

De bevindingen onderstrepen een groeiend probleem: zelfs officiële appstores bieden geen volledige bescherming tegen kwaadaardige software, waardoor gebruikers extra waakzaam moeten zijn.

Bron: Kaspersky Threat Intelligence, april-juni