Malware SparkCat
Nedávno odhalená kampaň proti hrozbám, nazvaná SparkCat, infiltrovala Apple App Store i Google Play pomocí podvodných aplikací určených ke shromažďování frází pro obnovu kryptoměnové peněženky. Tyto aplikace, maskované jako legitimní služby, tajně extrahují mnemotechnické fráze ze zařízení obětí, čímž ohrožují digitální aktiva.
Obsah
Využití OCR k Harvest Wallet Recovery frází
SparkCat využívá pokročilý model optického rozpoznávání znaků (OCR) ke skenování uživatelských knihoven fotografií a hledání obrázků obsahujících fráze pro obnovu peněženky. Jakmile jsou tyto citlivé obrazy detekovány, jsou exfiltrovány na vzdálený server Command-and-Control (C2). Kampaň je pojmenována po vestavěné sadě pro vývoj softwaru (SDK), která obsahuje komponentu Java nazvanou Spark, která se maskuje jako analytický modul. Zůstává nejasné, zda tato infiltrace vznikla v důsledku útoku na dodavatelský řetězec, nebo byla záměrně zavedena vývojáři.
Proniknutí do App Store společnosti Apple
Zatímco hrozby pro Android s funkcemi OCR se objevily již dříve, SparkCat představuje jeden z prvních případů takového útoku, který se dostal do App Store společnosti Apple. Na Google Play byly napadené aplikace staženy více než 242 000krát, než byly 7. února 2025 odstraněny z obou platforem.
Multiplatformní provoz
Důkazy naznačují, že SparkCat je aktivní od března 2024. Jeho nebezpečné aplikace jsou distribuovány prostřednictvím oficiálních obchodů i obchodů s aplikacemi třetích stran. Podvodné aplikace se vydávají za nástroje umělé inteligence, služby rozvozu jídla a platformy Web3, přičemž některé dokonce poskytují zdánlivě legitimní funkce, aby se vyhnuly podezření.
Jak SparkCat shromažďuje data
Na zařízeních Android malware dešifruje a aktivuje OCR plug-in využívající knihovnu Google ML Kit. Vyhledává v galeriích obrázků text, který odpovídá předdefinovaným klíčovým slovům ze serveru C2. Případné označené obrázky jsou pak předány útočníkům.
Varianta SparkCat pro iOS používá k identifikaci a extrahování citlivých informací přesný mechanismus OCR založený na ML Kit. Jedinečně tato verze také využívá komunikační rámec založený na Rustu pro interakci se serverem C2 – neobvyklá taktika v mobilních hrozbách.
Kdo stojí za útokem?
Analýza použitých klíčových slov a distribučních vzorců naznačuje, že SparkCat primárně cílí na uživatele v Evropě a Asii. Důkazy poukazují na aktéry hrozeb, kteří ovládají čínštinu, i když jejich přesná identita zůstává neznámá.
Neviditelný trojan v přestrojení
To, co dělá SparkCat obzvláště klamavým, je jeho schopnost fungovat bez upozornění. Oprávnění, která požaduje, se zdají být buď nezbytná pro inzerované funkce aplikace, nebo neškodná, což jí umožňuje splynout, aniž by vyvolalo podezření. Tento tajný přístup ztěžuje uživatelům rozpoznat hrozbu dříve, než budou ohroženy jejich kryptoměnové peněženky.
