W ramach niepokojącego wydarzenia badacze cyberbezpieczeństwa z firmy Kaspersky odkryli wyrafinowaną kampanię szkodliwego oprogramowania, której celem są zarówno urządzenia z systemem iOS, jak i Android. Znane jako SparkCat, szkodliwe oprogramowanie wykorzystuje technologię optycznego rozpoznawania znaków (OCR) do skanowania galerii zdjęć użytkowników i wydobywania ze zrzutów ekranu wrażliwych informacji o portfelu kryptowalut, w szczególności fraz odzyskiwania. Złośliwe aplikacje zawierające to szkodliwe oprogramowanie wykryto zarówno w Google Play, jak i Apple App Store, co stanowi pierwszy znany przypadek takiego ataku w ekosystemie Apple.
Szkodnik SparkCat został po raz pierwszy zidentyfikowany pod koniec 2024 r., ale jego początki sięgają marca tego samego roku. Działa poprzez żądanie dostępu do galerii zdjęć użytkowników, gdy korzystają oni z funkcji pomocy w zainfekowanych aplikacjach. Po otrzymaniu pozwolenia złośliwe oprogramowanie wykorzystuje technologię OCR – w szczególności bibliotekę ML Kit firmy Google – do skanowania obrazów w poszukiwaniu rozpoznawalnych słów kluczowych, takich jak frazy odzyskiwania powiązane z portfelami kryptowalut. Jeśli złośliwe oprogramowanie wykryje obraz zawierający frazę odzyskiwania, wysyła go z powrotem do serwera dowodzenia i kontroli, gdzie osoby atakujące mogą wykorzystać wyodrębnione informacje do zhakowania portfela kryptograficznego ofiary.
Sugerowana lektura:PSA: Nowe złośliwe oprogramowanie dla komputerów Mac kradnie hasła, kryptowaluty i inne dane za pośrednictwem złośliwych aplikacji
Badania Kaspersky’egoodkryważe złośliwe oprogramowanie zostało osadzone w co najmniej 18 aplikacjach na Androida i 10 aplikacjach na iOS, a niektóre z nich zostały pobrane setki tysięcy razy. Na przykład stwierdzono, że aplikacje takie jak ComeCome, usługa dostarczania jedzenia, zawierały szkodliwe oprogramowanie na obu platformach. Zainfekowane zostały także WeTink i AnyGPT, dwie aplikacje do czatowania oparte na sztucznej inteligencji. Chociaż Google podjął działania, aby usunąć ze swojego sklepu większość aplikacji na Androida, których dotyczy problem, niektóre z nich są nadal dostępne, co w dalszym ciągu stanowi ryzyko. Sytuacja z aplikacjami na iOS jest podobna – Kaspersky zgłasza, że niektóre z nich pozostają w App Store.
Prawdziwe pochodzenie SparkCata jest nadal niejasne. Kaspersky nie potwierdził, czy szkodliwe oprogramowanie zostało celowo wprowadzone przez programistów, czy też było wynikiem ataku na łańcuch dostaw. Godne uwagi jest jednak użycie protokołu komunikacyjnego opartego na Rust do interakcji z serwerami dowodzenia i kontroli. Ta technika, która nie jest powszechnie stosowana w aplikacjach mobilnych, może dostarczyć dalszych informacji na temat wyrafinowania atakujących stojących za kampanią. Warto zauważyć, że wydaje się, że złośliwe oprogramowanie atakuje głównie użytkowników w Europie i Azji, co sugeruje, że osoba zagrażająca może biegle władać językiem chińskim.
To, co czyni SparkCat szczególnie niebezpiecznym, to jego subtelność. W aplikacjach nie ma oczywistych złośliwych implantów, a uprawnienia wymagane przez złośliwe oprogramowanie często wydają się nieszkodliwe, co utrudnia użytkownikom rozpoznanie zagrożenia. Wykorzystywanie przez złośliwe oprogramowanie funkcji OCR do skanowania galerii zdjęć użytkowników, które mogą zawierać wrażliwe obrazy, takie jak frazy umożliwiające odzyskanie kryptowaluty, znacznie zwiększa ryzyko strat finansowych. Dodatkowo fakt, że złośliwe oprogramowanie działa w ukryciu, oznacza, że użytkownicy mogą pozostać nieświadomi naruszenia, dopóki ich portfele kryptograficzne nie zostaną opróżnione.
Ten incydent podkreśla znaczenie właściwej weryfikacji aplikacji. Mimo że te złośliwe aplikacje były dostępne w oficjalnych sklepach z aplikacjami, udało im się ominąć zabezpieczenia i wpłynąć na znaczną liczbę użytkowników. Ustalenia Kaspersky'ego wyraźnie przypominają, że użytkownicy muszą zachować ostrożność podczas udzielania uprawnień aplikacjom, zwłaszcza w przypadku aplikacji żądających dostępu do osobistych plików lub obrazów. Ponadto użytkownikom zaleca się przechowywanie poufnych informacji, takich jak frazy służące do odzyskiwania portfela kryptowalut, w zaszyfrowanym magazynie notatek lub menedżerach haseł, a nie w łatwo dostępnych formatach, takich jak zrzuty ekranu.
Chociaż zarówno Apple, jak i Google nie przedstawiły jeszcze oficjalnych oświadczeń dotyczących szkodliwego oprogramowania SparkCat, jasne jest, że atak uwypuklił rosnące zagrożenie, jakie stwarzają wyrafinowane kampanie szkodliwego oprogramowania. Ważne jest, aby użytkownicy zachowywali czujność, regularnie sprawdzali uprawnienia aplikacji i odinstalowywali wszelkie potencjalnie zainfekowane aplikacje, aby chronić swoje dane osobowe.