Κακόβουλο λογισμικό SparkCat
Μια εκστρατεία απειλής που αποκαλύφθηκε πρόσφατα, με το όνομα SparkCat, έχει διεισδύσει τόσο στο App Store της Apple όσο και στο Google Play χρησιμοποιώντας παραπλανητικές εφαρμογές που έχουν σχεδιαστεί για τη συλλογή φράσεων ανάκτησης πορτοφολιού κρυπτονομισμάτων. Αυτές οι εφαρμογές, μεταμφιεσμένες ως νόμιμες υπηρεσίες, εξάγουν κρυφά μνημονικές φράσεις από τις συσκευές των θυμάτων, θέτοντας σε κίνδυνο τα ψηφιακά στοιχεία.
Πίνακας περιεχομένων
Εκμετάλλευση OCR για τη συγκομιδή φράσεων ανάκτησης πορτοφολιού
Το SparkCat αξιοποιεί ένα προηγμένο μοντέλο Optical Character Recognition (OCR) για να σαρώσει τις βιβλιοθήκες φωτογραφιών των χρηστών για εικόνες που περιέχουν φράσεις ανάκτησης πορτοφολιού. Μόλις εντοπιστούν, αυτές οι ευαίσθητες εικόνες διοχετεύονται σε έναν απομακρυσμένο διακομιστή Command-and-Control (C2). Η καμπάνια πήρε το όνομά της από ένα ενσωματωμένο κιτ ανάπτυξης λογισμικού (SDK) που περιλαμβάνει ένα στοιχείο Java που ονομάζεται Spark, το οποίο μεταμφιέζεται ως μονάδα ανάλυσης. Παραμένει ασαφές εάν αυτή η διείσδυση προήλθε από επίθεση στην αλυσίδα εφοδιασμού ή εισήχθη σκόπιμα από προγραμματιστές.
Εισβολή στο App Store της Apple
Ενώ οι απειλές Android με δυνατότητες OCR έχουν εμφανιστεί στο παρελθόν, το SparkCat αντιπροσωπεύει μία από τις πρώτες περιπτώσεις τέτοιας επίθεσης που μπαίνει στο App Store της Apple. Στο Google Play, οι παραβιασμένες εφαρμογές λήφθηκαν περισσότερες από 242.000 φορές πριν αφαιρεθούν και από τις δύο πλατφόρμες στις 7 Φεβρουαρίου 2025.
Λειτουργία πολλαπλών πλατφορμών
Τα στοιχεία δείχνουν ότι το SparkCat είναι ενεργό από τον Μάρτιο του 2024. Οι μη ασφαλείς εφαρμογές του διανέμονται τόσο μέσω επίσημων καταστημάτων εφαρμογών όσο και μέσω τρίτων. Οι δόλιες εφαρμογές υποδύονται εργαλεία τεχνητής νοημοσύνης, υπηρεσίες παράδοσης φαγητού και πλατφόρμες Web3, με ορισμένες μάλιστα να παρέχουν φαινομενικά νόμιμη λειτουργικότητα για την αποφυγή υποψιών.
Πώς το SparkCat συλλέγει δεδομένα
Σε συσκευές Android, το κακόβουλο λογισμικό αποκρυπτογραφεί και ενεργοποιεί μια προσθήκη OCR που υποστηρίζεται από τη βιβλιοθήκη ML Kit της Google. Σαρώνει γκαλερί εικόνων για κείμενο που ταιριάζει με προκαθορισμένες λέξεις-κλειδιά από τον διακομιστή C2. Οποιεσδήποτε εικόνες με σημαία μεταδίδονται στη συνέχεια στους επιτιθέμενους.
Η παραλλαγή iOS του SparkCat χρησιμοποιεί τον ακριβή μηχανισμό OCR που βασίζεται σε κιτ ML για τον εντοπισμό και την εξαγωγή ευαίσθητων πληροφοριών. Με μοναδικό τρόπο, αυτή η έκδοση χρησιμοποιεί επίσης ένα πλαίσιο επικοινωνίας βασισμένο σε Rust για την αλληλεπίδραση με τον διακομιστή C2 - μια ασυνήθιστη τακτική σε κινητές απειλές.
Ποιος βρίσκεται πίσω από την επίθεση;
Η ανάλυση των λέξεων-κλειδιών που χρησιμοποιούνται και των μοτίβων διανομής υποδηλώνει ότι το SparkCat στοχεύει κυρίως χρήστες στην Ευρώπη και την Ασία. Τα στοιχεία υποδηλώνουν απειλές με ευχέρεια στα κινέζικα, αν και η ακριβής ταυτότητά τους παραμένει άγνωστη.
Ένας κρυφός Trojan in Disguise
Αυτό που κάνει το SparkCat ιδιαίτερα παραπλανητικό είναι η ικανότητά του να λειτουργεί χωρίς να υψώνει κόκκινες σημαίες. Οι άδειες που ζητά φαίνονται είτε απαραίτητες για τις διαφημιζόμενες λειτουργίες της εφαρμογής είτε αβλαβείς, επιτρέποντάς της να συνδυάζεται χωρίς να προκαλεί υποψίες. Αυτή η μυστική προσέγγιση καθιστά πιο δύσκολο για τους χρήστες να αναγνωρίσουν την απειλή προτού παραβιαστούν τα πορτοφόλια κρυπτονομισμάτων τους.
