بدافزار SparkCat

یک کمپین تهدید اخیراً کشف شده به نام SparkCat با استفاده از برنامه‌های فریبنده طراحی شده برای جمع‌آوری عبارات بازیابی کیف پول ارزهای دیجیتال به هر دو فروشگاه App و Google Play نفوذ کرده است. این برنامه ها که به عنوان سرویس های قانونی پنهان شده اند، به طور مخفیانه عبارات یادگاری را از دستگاه های قربانیان استخراج می کنند و دارایی های دیجیتال را در معرض خطر قرار می دهند.

استفاده از OCR برای برداشت عبارات بازیابی کیف پول

SparkCat از یک مدل پیشرفته تشخیص کاراکتر نوری (OCR) استفاده می کند تا کتابخانه عکس کاربران را برای تصاویر حاوی عبارات بازیابی کیف پول اسکن کند. پس از شناسایی، این تصاویر حساس به یک سرور فرمان و کنترل از راه دور (C2) استخراج می شوند. نام این کمپین از یک کیت توسعه نرم افزار تعبیه شده (SDK) گرفته شده است که شامل یک جزء جاوا به نام Spark است که به عنوان یک ماژول تجزیه و تحلیل ظاهر می شود. هنوز مشخص نیست که آیا این نفوذ ناشی از یک حمله زنجیره تامین بوده یا عمداً توسط توسعه دهندگان معرفی شده است.

نفوذ به اپ استور اپل

در حالی که تهدیدات اندروید با قابلیت های OCR قبلاً ظاهر شده بود، SparkCat یکی از اولین نمونه های چنین حمله ای است که راه خود را به اپ استور اپل می دهد. در Google Play، برنامه های در معرض خطر بیش از 242000 بار دانلود شدند قبل از اینکه در 7 فوریه 2025 از هر دو پلتفرم حذف شوند.

یک عملیات چند پلتفرمی

شواهد نشان می دهد که SparkCat از مارس 2024 فعال بوده است. برنامه های ناامن آن از طریق فروشگاه های برنامه رسمی و شخص ثالث توزیع می شوند. برنامه‌های تقلبی جعل هویت ابزارهای هوش مصنوعی، خدمات تحویل غذا و پلتفرم‌های Web3 هستند و برخی حتی برای جلوگیری از سوء ظن، عملکردی به ظاهر قانونی ارائه می‌کنند.

چگونه SparkCat داده ها را جمع آوری می کند

در دستگاه‌های Android، این بدافزار یک پلاگین OCR را که توسط کتابخانه ML Kit Google طراحی شده است، رمزگشایی و فعال می‌کند. این گالری تصاویر را برای متنی که با کلمات کلیدی از پیش تعریف شده سرور C2 مطابقت دارد اسکن می کند. سپس هر تصویر پرچم گذاری شده به مهاجمان منتقل می شود.

نوع iOS SparkCat از مکانیسم OCR مبتنی بر ML دقیق برای شناسایی و استخراج اطلاعات حساس استفاده می کند. به طور منحصر به فرد، این نسخه همچنین از یک چارچوب ارتباطی مبتنی بر Rust برای تعامل با سرور C2 خود استفاده می کند - یک تاکتیک غیر معمول در تهدیدات تلفن همراه.

چه کسی پشت حمله است؟

تجزیه و تحلیل کلمات کلیدی استفاده شده و الگوهای توزیع نشان می دهد که SparkCat در درجه اول کاربران اروپا و آسیا را هدف قرار می دهد. شواهد به عوامل تهدید کننده با تسلط به زبان چینی اشاره دارد، اگرچه هویت دقیق آنها ناشناخته باقی مانده است.

یک تروجان مخفی در لباس مبدل

چیزی که SparkCat را به طور خاص فریبنده می کند، توانایی آن در عملکرد بدون برافراشتن پرچم قرمز است. مجوزهایی که درخواست می‌کند یا برای ویژگی‌های تبلیغ‌شده برنامه ضروری به نظر می‌رسند یا بی‌ضرر هستند و به آن اجازه می‌دهند بدون ایجاد سوء ظن با هم ترکیب شوند. این رویکرد مخفیانه تشخیص تهدید را برای کاربران قبل از به خطر انداختن کیف پول ارزهای دیجیتال آنها دشوارتر می کند.