SparkCat Malware
Kempen ancaman yang ditemui baru-baru ini, digelar SparkCat, telah menyusup ke kedua-dua App Store Apple dan Google Play menggunakan apl memperdaya yang direka bentuk untuk mengumpul frasa pemulihan dompet mata wang kripto. Aplikasi ini, yang menyamar sebagai perkhidmatan yang sah, secara rahsia mengekstrak frasa mnemonik daripada peranti mangsa, meletakkan aset digital dalam risiko.
Isi kandungan
Mengeksploitasi OCR untuk Mengumpul Frasa Pemulihan Dompet
SparkCat memanfaatkan model OpticalCharacter Recognition (OCR) lanjutan untuk mengimbas pustaka foto pengguna untuk mendapatkan imej yang mengandungi frasa pemulihan dompet. Setelah dikesan, imej sensitif ini dieksfiltrasi ke pelayan Command-and-Control (C2) jauh. Kempen ini dinamakan sempena kit pembangunan perisian (SDK) terbenam yang merangkumi komponen Java yang dipanggil Spark, yang menyamar sebagai modul analitik. Masih tidak jelas sama ada penyusupan ini berpunca daripada serangan rantaian bekalan atau sengaja diperkenalkan oleh pemaju.
Memecah masuk ke App Store Apple
Walaupun ancaman Android dengan keupayaan OCR telah muncul sebelum ini, SparkCat mewakili salah satu kejadian pertama serangan sedemikian yang memasuki App Store Apple. Di Google Play, aplikasi yang terjejas telah dimuat turun lebih 242,000 kali sebelum dialih keluar daripada kedua-dua platform pada 7 Februari 2025.
Operasi Pelbagai Platform
Bukti menunjukkan bahawa SparkCat telah aktif sejak Mac 2024. Aplikasinya yang tidak selamat diedarkan melalui kedai aplikasi rasmi dan pihak ketiga. Aplikasi penipuan menyamar sebagai alat AI, perkhidmatan penghantaran makanan dan platform Web3, malah sesetengahnya menyediakan fungsi yang kelihatan sah untuk mengelakkan syak wasangka.
Cara SparkCat Mengumpul Data
Pada peranti Android, perisian hasad menyahsulit dan mengaktifkan pemalam OCR yang dikuasakan oleh perpustakaan ML Kit Google. Ia mengimbas galeri imej untuk teks yang sepadan dengan kata kunci yang dipratentukan daripada pelayan C2nya. Mana-mana imej yang dibenderakan kemudiannya dihantar kepada penyerang.
Varian iOS SparkCat menggunakan mekanisme OCR berasaskan ML Kit yang tepat untuk mengenal pasti dan mengekstrak maklumat sensitif. Uniknya, versi ini juga menggunakan rangka kerja komunikasi berasaskan Rust untuk berinteraksi dengan pelayan C2nya—taktik yang tidak biasa dalam ancaman mudah alih.
Siapa di Sebalik Serangan?
Analisis kata kunci yang digunakan dan corak pengedaran menunjukkan bahawa SparkCat menyasarkan pengguna di Eropah dan Asia. Bukti menunjukkan pelakon ancaman yang fasih berbahasa Cina, walaupun identiti sebenar mereka masih tidak diketahui.
Trojan Stealthy dalam Penyamaran
Apa yang menjadikan SparkCat sangat menipu ialah keupayaannya untuk beroperasi tanpa menaikkan bendera merah. Kebenaran yang dimintanya kelihatan sama ada perlu untuk ciri yang diiklankan aplikasi atau tidak berbahaya, membenarkan ia bergabung tanpa mencetuskan syak wasangka. Pendekatan senyap ini menjadikannya lebih sukar bagi pengguna untuk mengenali ancaman sebelum dompet mata wang kripto mereka terjejas.
