SparkCat rosszindulatú program
A közelmúltban feltárt fenyegetési kampány, a SparkCat, beszivárgott az Apple App Store-ba és a Google Play-be is, olyan megtévesztő alkalmazásokkal, amelyek célja a kriptovaluta pénztárca helyreállítására vonatkozó kifejezések gyűjtése. Ezek a legális szolgáltatásoknak álcázott alkalmazások titokban emlékezetes kifejezéseket vonnak ki az áldozatok eszközeiből, ezzel veszélybe sodorva a digitális eszközöket.
Tartalomjegyzék
Az OCR felhasználása a Wallet helyreállítási kifejezések összegyűjtésére
A SparkCat egy fejlett optikai karakterfelismerő (OCR) modellt használ a felhasználók fényképkönyvtárában a pénztárca-helyreállítási kifejezéseket tartalmazó képek keresésére. Az észlelést követően ezek az érzékeny képek egy távoli Command-and-Control (C2) szerverre kerülnek. A kampány egy beágyazott szoftverfejlesztő készletről (SDK) kapta a nevét, amely tartalmaz egy Spark nevű Java-komponenst, amely elemző modulnak álcázza magát. Továbbra sem világos, hogy ez a beszivárgás az ellátási lánc támadásából ered-e, vagy a fejlesztők szándékosan vezették be.
Betörés az Apple App Store-ba
Míg az OCR képességekkel rendelkező Android fenyegetések korábban is megjelentek, a SparkCat az egyik első ilyen támadás, amely bekerült az Apple App Store-ba. A Google Playen a feltört alkalmazásokat több mint 242 000 alkalommal töltötték le, majd 2025. február 7-én eltávolították őket mindkét platformról.
Többplatformos művelet
A bizonyítékok arra utalnak, hogy a SparkCat 2024 márciusa óta aktív. Nem biztonságos alkalmazásait hivatalos és harmadik féltől származó alkalmazásboltok is terjesztik. A csaló alkalmazások mesterséges intelligencia-eszközöket, ételkiszállítási szolgáltatásokat és Web3 platformokat adnak ki, és némelyik látszólag jogos funkcionalitást is biztosít a gyanú elkerülése érdekében.
Hogyan gyűjti a SparkCat az adatokat
Android-eszközökön a rosszindulatú program visszafejti és aktiválja a Google ML Kit könyvtára által működtetett OCR beépülő modult. A képgalériákban átvizsgálja a C2-szerveren előre meghatározott kulcsszavaknak megfelelő szöveget. A megjelölt képeket ezután továbbítják a támadóknak.
A SparkCat iOS-változata a pontos ML Kit-alapú OCR-mechanizmust használja az érzékeny információk azonosítására és kinyerésére. Egyedülálló módon ez a verzió Rust-alapú kommunikációs keretrendszert is alkalmaz a C2-szerverrel való interakcióhoz – ez egy szokatlan taktika a mobil fenyegetéseknél.
Ki áll a támadás mögött?
A használt kulcsszavak és a terjesztési minták elemzése arra utal, hogy a SparkCat elsősorban az európai és ázsiai felhasználókat célozza meg. A bizonyítékok arra utalnak, hogy a fenyegető szereplők folyékonyan beszélnek kínaiul, bár pontos személyazonosságuk ismeretlen.
Egy rejtett trójai álruhában
Ami a SparkCatot különösen megtévesztővé teszi, az az a képessége, hogy piros zászlók emelése nélkül tud működni. Az általa kért engedélyek vagy szükségesnek tűnnek az alkalmazás hirdetett funkcióihoz, vagy ártalmatlannak tűnnek, lehetővé téve, hogy az alkalmazás gyanút keltve beolvadjon. Ez a lopakodó megközelítés megnehezíti a felhasználók számára, hogy felismerjék a fenyegetést, mielőtt kriptovaluta pénztárcájuk veszélybe kerülne.
