Kaspersky badacze zidentyfikowane Kampania złośliwego oprogramowania, nazwana Sparkcat, dystrybuując złośliwe aplikacje na platformach Androida i iOS od marca 2024 r. To złośliwe oprogramowanie wykorzystuje rozpoznawanie znaków optycznych (OCR) do skanowania bibliotek fotograficznych pod kątem zwrotów odzyskiwania portfela kryptowalut.
„Centrum wiedzy specjalistycznej ds. Badań nad zagrożeniami Kaspersky odkryło nowego trojana kradnącej dane, Sparkcat, aktywny w Appstore i Google Play od co najmniej marca 2024 r. Jest to pierwszy znany przypadek złośliwego oprogramowania opartego na rozpoznawaniu opartym na rozpoznawaniu. Sparkcat używa uczenia maszynowego do skanowania galerii obrazów i kradzieży zrzutów ekranu zawierających frazy odzyskiwania portfela kryptowalut. Może także znaleźć i wyodrębnić inne poufne dane na obrazach, takie jak hasła. ”
-Kaspersky
Kaspersky identyfikuje złośliwe oprogramowanie Sparkcat ukierunkowane na portfele kryptograficzne na iOS i Android
. dochodzenieprzeprowadzone przez Dmitrija Kalinina i Sergey Puzan, zauważyli, że chociaż niektóre z dotkniętych aplikacji, takie jak usługi dostarczania żywności, wydają się uzasadnione, inni wydają się celowo oszukiwać użytkowników. 6 lutego Kaspersky potwierdził, że aplikacje dotknięte zostały usunięte z App Store, a Apple zgłosiło usunięcie 11 aplikacji, które udostępniło kod dodatkowych 89 aplikacji wcześniej odrzuconych lub usuniętych z powodu problemów bezpieczeństwa.
Złośliwe oprogramowanie znaleziono przede wszystkim w aplikacji iOS o nazwie Comecome, która pojawia się również w Google Play. Według Kaspersky, ta aplikacja została zaprojektowana w celu przejęcia dostępu do kryptowaluty użytkowników poprzez przechwytywanie zrzutów ekranu zawierających wyrażenia odzyskiwania, zwane również frazami nasion. Złośliwe oprogramowanie działa przy użyciu złośliwego zestawu oprogramowania (SDK), który odszyfiera wtyczkę OCR, która ułatwia skanowanie zrzutów ekranu urządzeń mobilnych.
Kaspersky podkreślił, że zainfekowane aplikacje Google Play zostały pobrane ponad 242 000 razy. Ten incydent oznacza pierwsze odkrycie aplikacji zainfekowanej oprogramowaniem szpiegującym OCR w Apple App Store, kwestionując pojęcie nieomylności platformy w stosunku do zagrożeń złośliwego oprogramowania.
Złośliwe oprogramowanie nie tylko dotyczy zwrotów odzyskiwania portfela kryptograficznego, ale jest również wystarczająco elastyczne, aby wyodrębnić inne poufne informacje z galerii, takie jak wiadomości lub hasła przechwycone w zrzutach ekranu. Naukowcy podkreślili, że prośby złośliwego oprogramowania o uprawnienia mogą wydawać się łagodne lub konieczne, umożliwiając uniknięcie wykrycia.
Szacuje się, że kampania Sparkcat złośliwe oprogramowanie jest ukierunkowane na użytkowników Androida i iOS głównie w Europie i Azji. Kaspersky zauważył, że dokładna metoda infekcji jest nadal badana, ponieważ nie mogą potwierdzić, czy Sparkcat został wprowadzony przez atak łańcucha dostaw, czy złośliwe działania deweloperów.
W powiązanych ustaleniach Spark obejmuje zaciemniony moduł zidentyfikowany jako Spark, napisany głównie w Javie, który komunikuje się ze zdalnym serwerem poleceń i kontroli (C2) za pośrednictwem protokołu opartego na rdzy. Po połączeniu z serwerem C2 złośliwe oprogramowanie wykorzystuje interfejs TextreCognizer w ML Kit Google, aby wyodrębnić tekst z obrazów.
Dodatkowa analiza ujawniła, że podstępny charakter złośliwego oprogramowania pozwala w błąd użytkowników do przyznania dostępu do swoich bibliotek fotograficznych po przechwytywaniu zrzutów ekranu zwrotów odzyskiwania. Szczegółowy raport Kaspersky stwierdził, że „uprawnienia, że żądania mogą wyglądać, jakby były potrzebne ze względu na jego podstawową funkcjonalność lub wydawać się nieszkodliwe na pierwszy rzut oka”.
Wyróżniony obraz obrazu: Kerem Gülen/Ideogram
