SparkCat злонамерен софтуер
Наскоро разкрита кампания за заплахи, наречена SparkCat, е проникнала както в App Store на Apple, така и в Google Play, използвайки измамни приложения, предназначени да събират фрази за възстановяване на портфейла за криптовалута. Тези приложения, маскирани като законни услуги, тайно извличат мнемонични фрази от устройствата на жертвите, излагайки цифровите активи на риск.
Съдържание
Използване на OCR за събиране на фрази за възстановяване на портфейла
SparkCat използва усъвършенстван модел за оптично разпознаване на символи (OCR), за да сканира библиотеките със снимки на потребителите за изображения, съдържащи фрази за възстановяване на портфейла. След като бъдат открити, тези чувствителни изображения се ексфилтрират към отдалечен сървър за командване и управление (C2). Кампанията е кръстена на вграден комплект за разработка на софтуер (SDK), който включва Java компонент, наречен Spark, който се маскира като аналитичен модул. Остава неясно дали това проникване е резултат от атака на веригата за доставки или е въведено умишлено от разработчиците.
Проникване в App Store на Apple
Въпреки че заплахите за Android с OCR възможности са се появявали и преди, SparkCat представлява един от първите случаи на такава атака, която си проправя път в App Store на Apple. В Google Play компрометираните приложения бяха изтеглени над 242 000 пъти, преди да бъдат премахнати от двете платформи на 7 февруари 2025 г.
Мултиплатформена операция
Доказателствата сочат, че SparkCat е активен от март 2024 г. Неговите опасни приложения се разпространяват както от официални магазини за приложения, така и от трети страни. Измамните приложения се представят за AI инструменти, услуги за доставка на храна и Web3 платформи, като някои дори предоставят привидно легитимна функционалност, за да избегнат подозрения.
Как SparkCat събира данни
На устройства с Android злонамереният софтуер декриптира и активира OCR плъгин, захранван от библиотеката на Google ML Kit. Той сканира галерии с изображения за текст, който съответства на предварително дефинирани ключови думи от своя C2 сървър. След това всички маркирани изображения се предават на нападателите.
iOS вариантът на SparkCat използва точния OCR механизъм, базиран на ML Kit, за идентифициране и извличане на чувствителна информация. Уникално, тази версия също използва комуникационна рамка, базирана на Rust, за взаимодействие със своя C2 сървър – необичайна тактика при мобилни заплахи.
Кой стои зад атаката?
Анализът на използваните ключови думи и моделите на разпространение предполага, че SparkCat е насочен предимно към потребители в Европа и Азия. Доказателствата сочат заплашващи актьори, владеещи китайски, въпреки че точната им самоличност остава неизвестна.
Прикрит троянски кон под прикритие
Това, което прави SparkCat особено измамен, е способността му да работи, без да вдига червени знамена. Разрешенията, които изисква, изглеждат или необходими за рекламираните функции на приложението, или безобидни, позволявайки му да се слее, без да предизвиква подозрение. Този скрит подход прави по-трудно за потребителите да разпознаят заплахата, преди портфейлите им за криптовалута да бъдат компрометирани.
