SparkCat Malware

لقد تسللت حملة تهديد تم الكشف عنها مؤخرًا، والتي أطلق عليها اسم SparkCat، إلى متجر تطبيقات Apple وGoogle Play باستخدام تطبيقات خادعة مصممة لجمع عبارات استرداد محفظة العملات المشفرة. هذه التطبيقات، المتخفية في هيئة خدمات شرعية، تستخرج سرًا عبارات سهلة التذكر من أجهزة الضحايا، مما يعرض الأصول الرقمية للخطر.

استغلال التعرف الضوئي على الحروف (OCR) لجمع عبارات استرداد المحفظة

تستفيد SparkCat من نموذج متقدم للتعرف الضوئي على الحروف (OCR) لمسح مكتبات الصور الخاصة بالمستخدمين بحثًا عن صور تحتوي على عبارات استرداد المحفظة. وبمجرد اكتشافها، يتم استخراج هذه الصور الحساسة إلى خادم Command-and-Control (C2) عن بُعد. تم تسمية الحملة على اسم مجموعة تطوير برمجيات مضمنة (SDK) تتضمن مكون Java يسمى Spark، والذي يتنكر في هيئة وحدة تحليلية. ويظل من غير الواضح ما إذا كان هذا التسلل ناتجًا عن هجوم على سلسلة التوريد أو تم تقديمه عمدًا من قبل المطورين.

اقتحام متجر تطبيقات آبل

في حين ظهرت تهديدات Android ذات قدرات التعرف الضوئي على الحروف من قبل، فإن SparkCat يمثل إحدى الحالات الأولى لمثل هذا الهجوم الذي شق طريقه إلى متجر تطبيقات Apple. على Google Play، تم تنزيل التطبيقات المخترقة أكثر من 242000 مرة قبل إزالتها من المنصتين في 7 فبراير 2025.

عملية متعددة المنصات

تشير الأدلة إلى أن SparkCat نشط منذ مارس 2024. يتم توزيع تطبيقاته غير الآمنة عبر متاجر التطبيقات الرسمية والتابعة لجهات خارجية. تنتحل التطبيقات الاحتيالية صفة أدوات الذكاء الاصطناعي وخدمات توصيل الطعام ومنصات Web3، مع توفير بعضها وظائف تبدو مشروعة لتجنب الشكوك.

كيف تقوم SparkCat بجمع البيانات

على أجهزة Android، يقوم البرنامج الخبيث بفك تشفير وتنشيط مكون إضافي للتعرف الضوئي على الحروف يعمل بواسطة مكتبة ML Kit من Google. ويقوم بمسح معرض الصور بحثًا عن نص يتطابق مع الكلمات الرئيسية المحددة مسبقًا من خادم C2 الخاص به. ثم يتم نقل أي صور مميزة إلى المهاجمين.

يستخدم إصدار iOS من SparkCat آلية OCR المستندة إلى ML Kit لتحديد واستخراج المعلومات الحساسة. وبشكل فريد، يستخدم هذا الإصدار أيضًا إطار عمل اتصال قائم على Rust للتفاعل مع خادم C2 الخاص به - وهو تكتيك غير شائع في التهديدات المحمولة.

من يقف وراء الهجوم؟

يشير تحليل الكلمات الرئيسية المستخدمة وأنماط التوزيع إلى أن SparkCat يستهدف في المقام الأول المستخدمين في أوروبا وآسيا. وتشير الأدلة إلى وجود جهات تهديد تتقن اللغة الصينية، على الرغم من أن هويتها الدقيقة لا تزال غير معروفة.

حصان طروادة خفي متخفي

ما يجعل SparkCat خادعًا بشكل خاص هو قدرته على العمل دون إثارة علامات حمراء. تبدو الأذونات التي يطلبها ضرورية للميزات المعلن عنها للتطبيق أو غير ضارة، مما يسمح له بالاندماج دون إثارة الشكوك. هذا النهج الخفي يجعل من الصعب على المستخدمين التعرف على التهديد قبل اختراق محافظ العملات المشفرة الخاصة بهم.