SparkCat kenkėjiška programa
Neseniai atskleista grėsmės kampanija, pavadinta „SparkCat“, įsiskverbė į „Apple App Store“ ir „Google Play“, naudodama apgaulingas programėles, skirtas rinkti kriptovaliutos piniginės atkūrimo frazes. Šios programos, užmaskuotos kaip teisėtos paslaugos, slapta ištraukia mnemonines frazes iš aukų įrenginių, todėl kyla pavojus skaitmeniniam turtui.
Turinys
OCR naudojimas piniginės atkūrimo frazių rinkimui
„SparkCat“ naudoja pažangų optinio simbolių atpažinimo (OCR) modelį, kad nuskaitytų vartotojų nuotraukų bibliotekas ir ieškotų vaizdų, kuriuose yra piniginės atkūrimo frazių. Aptikti šie jautrūs vaizdai perkeliami į nuotolinį komandų ir valdymo (C2) serverį. Kampanija pavadinta įterptosios programinės įrangos kūrimo rinkinio (SDK) vardu, kuriame yra „Java“ komponentas „Spark“, kuris yra analitikos modulis. Lieka neaišku, ar šis įsiskverbimas įvyko dėl tiekimo grandinės atakos, ar kūrėjai ją sąmoningai įvedė.
Įsilaužimas į Apple App Store
Nors „Android“ grėsmių su OCR galimybėmis iškilo anksčiau, „SparkCat“ yra vienas iš pirmųjų tokios atakos atvejų, patenkančių į „Apple App Store“. Iš „Google Play“ pažeistos programos buvo atsisiųstos daugiau nei 242 000 kartų, o 2025 m. vasario 7 d. jos buvo pašalintos iš abiejų platformų.
Kelių platformų operacija
Įrodymai rodo, kad „SparkCat“ veikia nuo 2024 m. kovo mėn. Jos nesaugios programos platinamos per oficialias ir trečiųjų šalių programų parduotuves. Apgaulingos programos apsimetinėja dirbtinio intelekto įrankiais, maisto pristatymo paslaugomis ir Web3 platformomis, o kai kurios netgi teikia iš pažiūros teisėtas funkcijas, kad nekiltų įtarimų.
Kaip „SparkCat“ renka duomenis
„Android“ įrenginiuose kenkėjiška programa iššifruoja ir suaktyvina OCR papildinį, kurį maitina „Google“ ML rinkinio biblioteka. Jis nuskaito vaizdų galerijas, ieškodamas teksto, atitinkančio iš anksto nustatytus raktinius žodžius iš C2 serverio. Tada visi pažymėti vaizdai perduodami užpuolikams.
„IOS“ „SparkCat“ variantas naudoja tikslų ML rinkinio OCR mechanizmą, kad nustatytų ir išgautų neskelbtiną informaciją. Unikaliai šioje versijoje taip pat naudojama rūdžių pagrindu sukurta komunikacijos sistema, skirta sąveikai su C2 serveriu – tai neįprasta mobiliųjų grėsmių taktika.
Kas yra už atakos?
Naudotų raktinių žodžių ir platinimo modelių analizė rodo, kad „SparkCat“ pirmiausia orientuojasi į Europos ir Azijos vartotojus. Įrodymai rodo, kad grėsmės veikėjai laisvai kalba kinų kalba, nors tiksli jų tapatybė nežinoma.
Slaptas Trojos arklys
„SparkCat“ ypač apgaulinga yra galimybė veikti nepakeliant raudonų vėliavėlių. Leidimai, kurių prašoma, atrodo būtini programos reklamuojamoms funkcijoms arba yra nekenksmingi, todėl ji gali susilieti nesukeliant įtarimų. Dėl šio slapto požiūrio vartotojams sunkiau atpažinti grėsmę, kol nebus pažeista jų kriptovaliutų piniginė.
