SparkCat Malware
Hiljuti paljastatud ohukampaania nimega SparkCat on tunginud nii Apple'i App Store'i kui ka Google Play'sse, kasutades petlikke rakendusi, mis on loodud krüptoraha rahakoti taastamise fraaside kogumiseks. Need legitiimsete teenustena maskeeritud rakendused eraldavad ohvrite seadmetest salaja mnemoonilised fraasid, seades ohtu digitaalsed varad.
Sisukord
OCR-i kasutamine rahakoti taastamise fraaside kogumiseks
SparkCat kasutab täiustatud Optical Character Recognition (OCR) mudelit, et skannida kasutajate fototeeke rahakoti taastamise fraase sisaldavate piltide otsimiseks. Kui need tundlikud pildid on tuvastatud, filtreeritakse need kaugkäskude ja juhtimise (C2) serverisse. Kampaania on oma nime saanud manustatud tarkvara arenduskomplekti (SDK) järgi, mis sisaldab Java-komponenti nimega Spark, mis maskeerub analüütikamoodulina. Jääb ebaselgeks, kas see imbumine tulenes tarneahela rünnakust või tutvustasid arendajad selle tahtlikult.
Sissemurdmine Apple’i App Store’i
Kuigi OCR-i võimalustega Androidi ohud on varem esile kerkinud, on SparkCat üks esimesi juhtumeid, kus selline rünnak jõuab Apple'i App Store'i. Google Plays laaditi ohustatud rakendused alla üle 242 000 korra, enne kui need 7. veebruaril 2025 mõlemalt platvormilt eemaldati.
Mitme platvormi operatsioon
Tõendid näitavad, et SparkCat on olnud aktiivne alates 2024. aasta märtsist. Selle ohtlikke rakendusi levitatakse nii ametlike kui ka kolmandate osapoolte rakenduste poodide kaudu. Petturlikud rakendused kehastavad tehisintellekti tööriistu, toidu kohaletoimetamise teenuseid ja Web3 platvorme ning mõned pakuvad kahtluste vältimiseks isegi näiliselt õigustatud funktsioone.
Kuidas SparkCat andmeid kogub
Android-seadmetes dekrüpteerib ja aktiveerib pahavara OCR-i pistikprogrammi, mida toidab Google'i ML-komplekti teegi. See skannib pildigaleriidest teksti, mis vastab C2 serveri eelmääratletud märksõnadele. Kõik märgistatud pildid edastatakse seejärel ründajatele.
SparkCati iOS-i variant kasutab tundliku teabe tuvastamiseks ja eraldamiseks täpset ML-komplektil põhinevat OCR-mehhanismi. Unikaalselt kasutab see versioon ka roostepõhist suhtlusraamistikku oma C2-serveriga suhtlemiseks – see on mobiiliohtude puhul ebatavaline taktika.
Kes on rünnaku taga?
Kasutatud märksõnade ja levitamismustrite analüüs näitab, et SparkCat sihib peamiselt Euroopa ja Aasia kasutajaid. Tõendid viitavad ohus osalejatele, kes oskavad vabalt hiina keelt, kuigi nende täpne isik on teadmata.
Varjatud troojalane maskeeringus
SparkCati teeb eriti petlikuks selle võime töötada ilma punaseid lippe tõstmata. Taotletavad load tunduvad olevat rakenduse reklaamitud funktsioonide jaoks vajalikud või kahjutud, võimaldades sellel sulanduda ilma kahtlust tekitamata. See vargsi lähenemine muudab kasutajate jaoks ohu äratundmise raskemaks enne, kui nende krüptovaluuta rahakotid on ohus.
