SparkCat skadelig programvare
En nylig avdekket trusselkampanje, kalt SparkCat, har infiltrert både Apples App Store og Google Play ved å bruke villedende apper designet for å samle gjenopprettingsfraser for kryptovaluta lommebok. Disse applikasjonene, forkledd som legitime tjenester, trekker i hemmelighet ut mnemoniske setninger fra ofrenes enheter, og setter digitale eiendeler i fare.
Innholdsfortegnelse
Utnyttelse av OCR til å høste lommebokgjenopprettingsfraser
SparkCat bruker en avansert OpticalCharacter Recognition (OCR)-modell for å skanne brukernes fotobiblioteker for bilder som inneholder fraser for lommebokgjenoppretting. Når de er oppdaget, blir disse sensitive bildene eksfiltrert til en ekstern Command-and-Control-server (C2). Kampanjen er oppkalt etter et innebygd programvareutviklingssett (SDK) som inkluderer en Java-komponent kalt Spark, som maskerer seg som en analysemodul. Det er fortsatt uklart om denne infiltrasjonen var et resultat av et forsyningskjedeangrep eller ble bevisst introdusert av utviklere.
Innbrudd i Apples App Store
Mens Android-trusler med OCR-funksjoner har dukket opp før, representerer SparkCat et av de første tilfellene av et slikt angrep på vei inn i Apples App Store. På Google Play ble de kompromitterte appene lastet ned over 242 000 ganger før de ble fjernet fra begge plattformene 7. februar 2025.
En operasjon med flere plattformer
Bevis tyder på at SparkCat har vært aktiv siden mars 2024. Dens usikre applikasjoner distribueres via både offisielle og tredjeparts appbutikker. De uredelige applikasjonene etterligner AI-verktøy, matleveringstjenester og Web3-plattformer, og noen gir til og med tilsynelatende legitim funksjonalitet for å unngå mistanke.
Hvordan SparkCat samler inn data
På Android-enheter dekrypterer og aktiverer skadelig programvare en OCR-plugin drevet av Googles ML Kit-bibliotek. Den skanner bildegallerier for tekst som samsvarer med forhåndsdefinerte nøkkelord fra C2-serveren. Eventuelle flaggede bilder blir deretter overført til angriperne.
iOS-varianten av SparkCat bruker den eksakte ML Kit-baserte OCR-mekanismen for å identifisere og trekke ut sensitiv informasjon. Unikt bruker denne versjonen også et Rust-basert kommunikasjonsrammeverk for samhandling med C2-serveren – en uvanlig taktikk i mobile trusler.
Hvem står bak angrepet?
Analyse av søkeordene som brukes og distribusjonsmønstrene antyder at SparkCat primært retter seg mot brukere i Europa og Asia. Bevisene peker på trusselaktører med flytende kinesisk, selv om deres eksakte identitet forblir ukjent.
En snikende trojaner i forkledning
Det som gjør SparkCat spesielt villedende er dens evne til å operere uten å heve røde flagg. Tillatelsene den ber om virker enten nødvendige for applikasjonens annonserte funksjoner eller ufarlige, slik at den kan blande seg inn uten å utløse mistanke. Denne skjulte tilnærmingen gjør det vanskeligere for brukere å gjenkjenne trusselen før deres kryptovaluta-lommebøker blir kompromittert.
