SparkCat haittaohjelma
Äskettäin paljastunut uhkakampanja, nimeltään SparkCat, on tunkeutunut sekä Applen App Storeen että Google Playhin käyttämällä petollisia sovelluksia, jotka on suunniteltu keräämään kryptovaluuttalompakoiden palautuslausekkeita. Nämä laillisiksi palveluiksi naamioidut sovellukset poimivat salaa muistolauseita uhrien laitteista, mikä vaarantaa digitaalisen omaisuuden.
Sisällysluettelo
OCR:n hyödyntäminen lompakon palautuslausekkeiden keräämiseen
SparkCat hyödyntää kehittynyttä OpticalCharacter Recognition (OCR) -mallia skannatakseen käyttäjien valokuvakirjastoista kuvia, jotka sisältävät lompakon palautuslausekkeita. Kun nämä arkaluontoiset kuvat havaitaan, ne suodatetaan Command-and-Control (C2) -etäpalvelimelle. Kampanja on nimetty sulautetun ohjelmistokehityspaketin (SDK) mukaan, joka sisältää Java-komponentin nimeltä Spark, joka naamioituu analytiikkamoduuliksi. On edelleen epäselvää, johtuiko tämä soluttautuminen toimitusketjun hyökkäyksestä vai kehittäjät ovat sen tarkoituksella ottaneet käyttöön.
Murtautuminen Applen App Storeen
Vaikka OCR-ominaisuuksilla varustettuja Android-uhkia on esiintynyt aiemminkin, SparkCat on yksi ensimmäisistä Applen App Storeen päässeistä hyökkäystapauksista. Google Playssa vaarantuneet sovellukset ladattiin yli 242 000 kertaa ennen kuin ne poistettiin molemmilta alustoilta 7. helmikuuta 2025.
Monen alustan toiminta
Todisteet viittaavat siihen, että SparkCat on ollut aktiivinen maaliskuusta 2024 lähtien. Sen vaarallisia sovelluksia jaetaan sekä virallisten että kolmannen osapuolen sovelluskauppojen kautta. Vilpilliset sovellukset jäljittelevät tekoälytyökaluja, ruoan toimituspalveluita ja Web3-alustoja, ja jotkut tarjoavat jopa näennäisesti laillisia toimintoja epäilyksen välttämiseksi.
Kuinka SparkCat kerää tietoja
Android-laitteissa haittaohjelma purkaa ja aktivoi OCR-laajennuksen, joka toimii Googlen ML Kit -kirjaston avulla. Se skannaa kuvagallerioista tekstiä, joka vastaa ennalta määritettyjä avainsanoja sen C2-palvelimelta. Kaikki merkityt kuvat lähetetään sitten hyökkääjille.
SparkCatin iOS-versio käyttää tarkkaa ML Kit -pohjaista OCR-mekanismia arkaluonteisten tietojen tunnistamiseen ja poimimiseen. Ainutlaatuisesti tämä versio käyttää myös Rust-pohjaista viestintäkehystä vuorovaikutuksessa sen C2-palvelimen kanssa - harvinainen taktiikka mobiiliuhkissa.
Kuka on hyökkäyksen takana?
Käytettyjen avainsanojen ja jakelumallien analyysi viittaa siihen, että SparkCat on suunnattu ensisijaisesti käyttäjille Euroopassa ja Aasiassa. Todisteet viittaavat uhkaaviin toimijoihin, jotka puhuvat sujuvasti kiinaa, vaikka heidän tarkka henkilöllisyytensä on edelleen tuntematon.
Hiljainen troijalainen valepuvussa
SparkCatista erityisen petollisen tekee sen kyky toimia ilman punaisten lippujen nostamista. Sen pyytämät luvat vaikuttavat joko välttämättömiltä sovelluksen mainostetuille ominaisuuksille tai harmittomilta, jolloin se sulautuu ilman epäilyksiä. Tämä salakavala lähestymistapa tekee käyttäjien vaikeammaksi tunnistaa uhkaa ennen kuin heidän kryptovaluuttalompakkonsa vaarantuvat.
