Zlonamjerni softver SparkCat
Nedavno otkrivena kampanja prijetnji, nazvana SparkCat, infiltrirala se u Appleov App Store i Google Play koristeći lažne aplikacije dizajnirane za prikupljanje izraza za oporavak novčanika kriptovalute. Ove aplikacije, prerušene u legitimne usluge, potajno izvlače mnemoničke fraze iz uređaja žrtava, dovodeći digitalnu imovinu u opasnost.
Sadržaj
Iskorištavanje OCR-a za prikupljanje fraza za oporavak novčanika
SparkCat koristi napredni model OpticalCharacter Recognition (OCR) za skeniranje knjižnica fotografija korisnika u potrazi za slikama koje sadrže izraze za oporavak novčanika. Jednom otkrivene, ove osjetljive slike se eksfiltriraju na udaljeni Command-and-Control (C2) poslužitelj. Kampanja je dobila ime po ugrađenom paketu za razvoj softvera (SDK) koji uključuje Java komponentu nazvanu Spark, koja se predstavlja kao analitički modul. Ostaje nejasno je li ova infiltracija rezultat napada na lanac opskrbe ili su je programeri namjerno uveli.
Provala u Appleov App Store
Dok su se prijetnje Androida s OCR mogućnostima pojavljivale i prije, SparkCat predstavlja jedan od prvih primjera takvog napada koji se probio u Appleov App Store. Na Google Playu, kompromitirane aplikacije preuzete su više od 242.000 puta prije nego što su uklonjene s obje platforme 7. veljače 2025.
Operacija na više platformi
Dokazi sugeriraju da je SparkCat aktivan od ožujka 2024. Njegove nesigurne aplikacije distribuiraju se putem službenih trgovina aplikacija i trgovina aplikacija trećih strana. Lažne aplikacije oponašaju AI alate, usluge dostave hrane i Web3 platforme, a neke čak pružaju naizgled legitimne funkcije kako bi se izbjegla sumnja.
Kako SparkCat prikuplja podatke
Na Android uređajima zlonamjerni softver dekriptira i aktivira OCR dodatak koji pokreće Googleova biblioteka ML Kit. Skenira galerije slika tražeći tekst koji odgovara unaprijed definiranim ključnim riječima s njegovog C2 poslužitelja. Sve označene slike zatim se prenose napadačima.
iOS varijanta SparkCat-a koristi točan OCR mehanizam temeljen na ML Kitu za prepoznavanje i izdvajanje osjetljivih informacija. Jedinstveno, ova verzija također koristi komunikacijski okvir temeljen na Rustu za interakciju sa svojim C2 poslužiteljem—neuobičajena taktika u mobilnim prijetnjama.
Tko stoji iza napada?
Analiza korištenih ključnih riječi i obrazaca distribucije sugerira da SparkCat primarno cilja korisnike u Europi i Aziji. Dokazi upućuju na aktere prijetnje koji tečno govore kineski, iako njihov točan identitet ostaje nepoznat.
Prikriveni Trojanac pod maskom
Ono što SparkCat čini posebno varljivim je njegova sposobnost da radi bez podizanja crvenih zastava. Dopuštenja koja traži čine se ili potrebnima za reklamirane značajke aplikacije ili bezopasnima, dopuštajući joj da se uklopi bez izazivanja sumnje. Ovaj prikriveni pristup otežava korisnicima da prepoznaju prijetnju prije nego što njihovi novčanici s kriptovalutom budu ugroženi.
