SparkCat ļaunprātīga programmatūra
Nesen atklātā draudu kampaņa ar nosaukumu SparkCat ir iefiltrējusies gan Apple App Store, gan Google Play, izmantojot maldinošas lietotnes, kas paredzētas kriptovalūtas maka atkopšanas frāžu apkopošanai. Šīs lietojumprogrammas, kas maskētas kā likumīgi pakalpojumi, slepeni izvelk mnemoniskas frāzes no upuru ierīcēm, pakļaujot riskam digitālos īpašumus.
Satura rādītājs
OCR izmantošana, lai ievāktu maka atkopšanas frāzes
SparkCat izmanto uzlaboto Optical Character Recognition (OCR) modeli, lai skenētu lietotāju fotoattēlu bibliotēkās attēlus, kuros ir ietvertas maka atkopšanas frāzes. Kad šie sensitīvie attēli tiek atklāti, tie tiek izfiltrēti uz attālo Command-and-Control (C2) serveri. Kampaņa ir nosaukta iegultā programmatūras izstrādes komplekta (SDK) vārdā, kas ietver Java komponentu ar nosaukumu Spark, kas tiek maskēts kā analītikas modulis. Joprojām nav skaidrs, vai šo iefiltrēšanos izraisīja piegādes ķēdes uzbrukums vai arī izstrādātāji to ieviesa apzināti.
Ielauzties Apple App Store
Lai gan Android draudi ar OCR iespējām ir parādījušies jau iepriekš, SparkCat ir viens no pirmajiem šāda uzbrukuma gadījumiem, kas nonāk Apple App Store. Pakalpojumā Google Play apdraudētās lietojumprogrammas tika lejupielādētas vairāk nekā 242 000 reižu, pirms tās 2025. gada 7. februārī tika noņemtas no abām platformām.
Vairāku platformu darbība
Pierādījumi liecina, ka SparkCat ir bijis aktīvs kopš 2024. gada marta. Tās nedrošās lietojumprogrammas tiek izplatītas gan oficiālajos, gan trešo pušu lietotņu veikalos. Krāpnieciskās lietojumprogrammas uzdodas par mākslīgā intelekta rīkiem, pārtikas piegādes pakalpojumiem un Web3 platformām, un dažas pat nodrošina šķietami likumīgu funkcionalitāti, lai izvairītos no aizdomām.
Kā SparkCat vāc datus
Android ierīcēs ļaunprogrammatūra atšifrē un aktivizē OCR spraudni, ko darbina Google ML komplekta bibliotēka. Tā skenē attēlu galerijās tekstu, kas atbilst iepriekš definētiem atslēgvārdiem no C2 servera. Visi atzīmētie attēli pēc tam tiek nosūtīti uzbrucējiem.
SparkCat iOS variants izmanto precīzu uz ML komplektu balstītu OCR mehānismu, lai identificētu un iegūtu sensitīvu informāciju. Unikāli šajā versijā tiek izmantota arī uz Rust balstīta saziņas sistēma, lai mijiedarbotos ar C2 serveri — tā ir neparasta taktika mobilo sakaru apdraudējumiem.
Kas ir aiz uzbrukuma?
Izmantoto atslēgvārdu un izplatīšanas modeļu analīze liecina, ka SparkCat galvenokārt ir paredzēts lietotājiem Eiropā un Āzijā. Pierādījumi norāda uz apdraudētājiem, kas brīvi pārvalda ķīniešu valodu, lai gan viņu precīza identitāte joprojām nav zināma.
Maskēts zaglis Trojas zirgs
Tas, kas padara SparkCat īpaši maldinošu, ir tā spēja darboties, nepaceļot sarkanos karogus. Šķiet, ka pieprasītās atļaujas ir nepieciešamas lietojumprogrammas reklamētajām funkcijām vai ir nekaitīgas, ļaujot tai apvienoties, neradot aizdomas. Šī slepenā pieeja lietotājiem apgrūtina draudu atpazīšanu, pirms tiek apdraudēti viņu kriptovalūtas maki.
