SparkCat Malware
En for nylig afsløret trusselkampagne, kaldet SparkCat, har infiltreret både Apples App Store og Google Play ved hjælp af vildledende apps designet til at indsamle sætninger til gendannelse af cryptocurrency wallet. Disse applikationer, forklædt som legitime tjenester, udvinder hemmeligt mnemoniske sætninger fra ofrenes enheder, hvilket bringer digitale aktiver i fare.
Indholdsfortegnelse
Udnyttelse af OCR til Harvest Wallet Recovery Phrases
SparkCat udnytter en avanceret OpticalCharacter Recognition (OCR) model til at scanne brugernes fotobiblioteker for billeder, der indeholder tegnebogsgendannelsessætninger. Når de er opdaget, eksfiltreres disse følsomme billeder til en ekstern Command-and-Control-server (C2). Kampagnen er opkaldt efter et indlejret softwareudviklingskit (SDK), der indeholder en Java-komponent kaldet Spark, der forklæder sig som et analysemodul. Det er stadig uklart, om denne infiltration var et resultat af et forsyningskædeangreb eller bevidst blev introduceret af udviklere.
Indbrud i Apples App Store
Mens Android-trusler med OCR-funktioner er dukket op før, repræsenterer SparkCat et af de første tilfælde af et sådant angreb på vej ind i Apples App Store. På Google Play blev de kompromitterede applikationer downloadet over 242.000 gange, før de blev fjernet fra begge platforme den 7. februar 2025.
En multi-platform operation
Beviser tyder på, at SparkCat har været aktiv siden marts 2024. Dets usikre applikationer distribueres via både officielle og tredjeparts app-butikker. De svigagtige applikationer efterligner AI-værktøjer, madleveringstjenester og Web3-platforme, hvor nogle endda leverer tilsyneladende legitim funktionalitet for at undgå mistanke.
Hvordan SparkCat indsamler data
På Android-enheder dekrypterer og aktiverer malwaren et OCR-plugin drevet af Googles ML Kit-bibliotek. Den scanner billedgallerier for tekst, der matcher foruddefinerede søgeord fra dens C2-server. Eventuelle flagede billeder sendes derefter til angriberne.
iOS-varianten af SparkCat bruger den nøjagtige ML Kit-baserede OCR-mekanisme til at identificere og udtrække følsomme oplysninger. Entydigt anvender denne version også en Rust-baseret kommunikationsramme til at interagere med sin C2-server - en usædvanlig taktik i mobile trusler.
Hvem står bag angrebet?
Analyse af de anvendte søgeord og distributionsmønstrene tyder på, at SparkCat primært henvender sig til brugere i Europa og Asien. Beviserne peger på trusselsaktører, der behersker kinesisk, selvom deres nøjagtige identitet forbliver ukendt.
En snigende trojaner i forklædning
Det, der gør SparkCat særligt vildledende, er dens evne til at fungere uden at hejse røde flag. De tilladelser, den anmoder om, forekommer enten nødvendige for applikationens annoncerede funktioner eller uskadelige, hvilket gør det muligt for det at blande sig uden at udløse mistanke. Denne snigende tilgang gør det sværere for brugere at genkende truslen, før deres cryptocurrency-punge bliver kompromitteret.
