SparkCat मैलवेयर

हाल ही में सामने आए एक ख़तरनाक अभियान, जिसे स्पार्ककैट कहा जाता है, ने क्रिप्टोकरेंसी वॉलेट रिकवरी वाक्यांशों को इकट्ठा करने के लिए डिज़ाइन किए गए भ्रामक ऐप का उपयोग करके ऐप्पल के ऐप स्टोर और गूगल प्ले दोनों में घुसपैठ की है। वैध सेवाओं के रूप में प्रच्छन्न ये एप्लिकेशन पीड़ितों के उपकरणों से गुप्त रूप से स्मृति संबंधी वाक्यांश निकालते हैं, जिससे डिजिटल संपत्ति जोखिम में पड़ जाती है।

वॉलेट रिकवरी वाक्यांशों को प्राप्त करने के लिए OCR का उपयोग करना

स्पार्ककैट उपयोगकर्ताओं की फोटो लाइब्रेरी को वॉलेट रिकवरी वाक्यांशों वाली छवियों के लिए स्कैन करने के लिए एक उन्नत ऑप्टिकल कैरेक्टर रिकॉग्निशन (OCR) मॉडल का लाभ उठाता है। एक बार पता लगने के बाद, इन संवेदनशील छवियों को एक दूरस्थ कमांड-एंड-कंट्रोल (C2) सर्वर पर भेज दिया जाता है। अभियान का नाम एक एम्बेडेड सॉफ़्टवेयर डेवलपमेंट किट (SDK) के नाम पर रखा गया है जिसमें स्पार्क नामक एक जावा घटक शामिल है, जो एक एनालिटिक्स मॉड्यूल के रूप में सामने आता है। यह स्पष्ट नहीं है कि यह घुसपैठ आपूर्ति श्रृंखला हमले के परिणामस्वरूप हुई या डेवलपर्स द्वारा जानबूझकर पेश की गई थी।

एप्पल के ऐप स्टोर में सेंध

जबकि OCR क्षमताओं वाले Android खतरे पहले भी सामने आ चुके हैं, स्पार्ककैट इस तरह के हमले के पहले उदाहरणों में से एक है जो Apple के ऐप स्टोर में अपना रास्ता बना रहा है। Google Play पर, समझौता किए गए एप्लिकेशन को 7 फरवरी, 2025 को दोनों प्लेटफ़ॉर्म से हटाए जाने से पहले 242,000 से अधिक बार डाउनलोड किया गया था।

एक बहु-प्लेटफ़ॉर्म ऑपरेशन

साक्ष्य बताते हैं कि स्पार्ककैट मार्च 2024 से सक्रिय है। इसके असुरक्षित एप्लिकेशन आधिकारिक और थर्ड-पार्टी ऐप स्टोर दोनों के माध्यम से वितरित किए जाते हैं। धोखाधड़ी करने वाले एप्लिकेशन एआई टूल, खाद्य वितरण सेवाओं और वेब3 प्लेटफ़ॉर्म का प्रतिरूपण करते हैं, जिनमें से कुछ संदेह से बचने के लिए वैध कार्यक्षमता भी प्रदान करते हैं।

SparkCat डेटा कैसे एकत्रित करता है

एंड्रॉइड डिवाइस पर, मैलवेयर Google की ML किट लाइब्रेरी द्वारा संचालित OCR प्लग-इन को डिक्रिप्ट और सक्रिय करता है। यह अपने C2 सर्वर से पूर्वनिर्धारित कीवर्ड से मेल खाने वाले टेक्स्ट के लिए इमेज गैलरी को स्कैन करता है। फिर किसी भी फ़्लैग की गई इमेज को हमलावरों को भेज दिया जाता है।

स्पार्ककैट का iOS संस्करण संवेदनशील जानकारी की पहचान करने और उसे निकालने के लिए सटीक ML किट-आधारित OCR तंत्र का उपयोग करता है। विशिष्ट रूप से, यह संस्करण अपने C2 सर्वर के साथ बातचीत करने के लिए रस्ट-आधारित संचार ढांचे का भी उपयोग करता है - मोबाइल खतरों में एक असामान्य रणनीति।

हमले के पीछे कौन है?

इस्तेमाल किए गए कीवर्ड और वितरण पैटर्न के विश्लेषण से पता चलता है कि स्पार्ककैट मुख्य रूप से यूरोप और एशिया के उपयोगकर्ताओं को लक्षित करता है। साक्ष्य चीनी भाषा में धाराप्रवाह बोलने वाले खतरनाक अभिनेताओं की ओर इशारा करते हैं, हालांकि उनकी सटीक पहचान अज्ञात है।

छद्मवेश में एक गुप्त ट्रोजन

स्पार्ककैट को खास तौर पर भ्रामक बनाने वाली बात यह है कि यह लाल झंडे उठाए बिना काम करने की क्षमता रखता है। यह जो अनुमति मांगता है, वह या तो एप्लिकेशन की विज्ञापित सुविधाओं के लिए आवश्यक लगती है या हानिरहित होती है, जिससे यह संदेह पैदा किए बिना घुलमिल जाता है। यह गुप्त दृष्टिकोण उपयोगकर्ताओं के लिए उनके क्रिप्टोक्यूरेंसी वॉलेट से समझौता किए जाने से पहले खतरे को पहचानना कठिन बना देता है।