תוכנת זדונית SparkCat
קמפיין איומים שנחשף לאחרונה, המכונה SparkCat, חדר הן לחנות האפליקציות של אפל והן ל-Google Play תוך שימוש באפליקציות מטעות שנועדו לאסוף ביטויי שחזור של ארנק קריפטוגרפי. יישומים אלה, המחופשים לשירותים לגיטימיים, מחלצים בחשאי ביטויים מנמוניים ממכשירי הקורבנות, ומעמידים נכסים דיגיטליים בסיכון.
תוכן העניינים
ניצול OCR לביטויי שחזור ארנק קציר
SparkCat ממנפת מודל מתקדם של זיהוי תווים אופטי (OCR) כדי לסרוק את ספריות התמונות של המשתמשים לאיתור תמונות המכילות ביטויים לשחזור ארנק. לאחר זיהוי, תמונות רגישות אלו מועברות לשרת פקודה ושליטה מרוחק (C2). הקמפיין נקרא על שם ערכת פיתוח תוכנה משובצת (SDK) הכוללת רכיב Java בשם Spark, שמתחזה למודול אנליטיקס. עדיין לא ברור אם ההסתננות הזו נבעה מהתקפת שרשרת האספקה או שהוצגה בכוונה על ידי מפתחים.
פריצה לחנות האפליקציות של אפל
בעוד שאיומי אנדרואיד עם יכולות OCR הופיעו בעבר, SparkCat מייצג את אחד המקרים הראשונים של מתקפה כזו שעושה את דרכה לחנות האפליקציות של אפל. ב-Google Play, האפליקציות שנפרצו הורדו יותר מ-242,000 פעמים לפני שהוסרו משתי הפלטפורמות ב-7 בפברואר 2025.
פעולה מרובת פלטפורמות
עדויות מצביעות על כך ש-SparkCat פעיל מאז מרץ 2024. היישומים הלא בטוחים שלו מופצים דרך חנויות אפליקציות רשמיות וצד שלישי כאחד. יישומי ההונאה מתחזים לכלי בינה מלאכותית, שירותי משלוח מזון ופלטפורמות Web3, כאשר חלקם אף מספקים פונקציונליות לגיטימית לכאורה כדי למנוע חשד.
כיצד SparkCat אוספת נתונים
במכשירי אנדרואיד, התוכנה הזדונית מפענחת ומפעילה תוסף OCR המופעל על ידי ספריית ML Kit של גוגל. הוא סורק גלריות תמונות לאיתור טקסט התואם למילות מפתח מוגדרות מראש משרת C2 שלה. כל תמונות מסומנות מועברות לאחר מכן לתוקפים.
גרסת ה-iOS של SparkCat משתמשת במנגנון OCR המדויק מבוסס ML Kit כדי לזהות ולחלץ מידע רגיש. באופן ייחודי, גרסה זו משתמשת גם במסגרת תקשורת מבוססת Rust לאינטראקציה עם שרת C2 שלה - טקטיקה לא שכיחה באיומים ניידים.
מי עומד מאחורי המתקפה?
ניתוח של מילות המפתח בשימוש ודפוסי ההפצה מצביע על כך ש-SparkCat מתמקד בעיקר במשתמשים באירופה ובאסיה. העדויות מצביעות על שחקני איומים בעלי שליטה בסינית, אם כי זהותם המדויקת נותרה לא ידועה.
טרויאני חמקני בתחפושת
מה שהופך את SparkCat למטעה במיוחד הוא היכולת שלו לפעול מבלי להרים דגלים אדומים. ההרשאות שהיא מבקשת נראות נחוצות עבור התכונות המפורסמות של האפליקציה או לא מזיקות, מה שמאפשר לה להשתלב מבלי לעורר חשד. גישה חמקנית זו מקשה על המשתמשים לזהות את האיום לפני שהארנקים הקריפטוגרפיים שלהם נפגעים.
