SparkCat-malware
Een onlangs ontdekte dreigingscampagne, genaamd SparkCat, is zowel Apple's App Store als Google Play binnengedrongen met behulp van misleidende apps die zijn ontworpen om cryptovaluta wallet recovery phrases te verzamelen. Deze applicaties, vermomd als legitieme services, halen heimelijk mnemonische zinnen uit de apparaten van slachtoffers, waardoor digitale activa in gevaar komen.
Inhoudsopgave
OCR gebruiken om portemonnee-herstelzinnen te verzamelen
SparkCat maakt gebruik van een geavanceerd OpticalCharacter Recognition (OCR)-model om de fotobibliotheken van gebruikers te scannen op afbeeldingen met wallet recovery-zinnen. Zodra deze gevoelige afbeeldingen zijn gedetecteerd, worden ze geëxfiltreerd naar een externe Command-and-Control (C2)-server. De campagne is vernoemd naar een embedded software development kit (SDK) met een Java-component genaamd Spark, die zich voordoet als een analysemodule. Het blijft onduidelijk of deze infiltratie het gevolg is van een supply chain-aanval of dat ontwikkelaars dit doelbewust hebben gedaan.
Inbreken in de App Store van Apple
Hoewel Android-bedreigingen met OCR-mogelijkheden al eerder zijn opgedoken, is SparkCat een van de eerste gevallen van een dergelijke aanval die zijn weg vindt naar de App Store van Apple. Op Google Play werden de gecompromitteerde applicaties meer dan 242.000 keer gedownload voordat ze op 7 februari 2025 van beide platforms werden verwijderd.
Een multi-platform operatie
Bewijs suggereert dat SparkCat actief is sinds maart 2024. De onveilige applicaties worden verspreid via zowel officiële als externe app stores. De frauduleuze applicaties imiteren AI-tools, bezorgservices voor eten en Web3-platforms, waarbij sommige zelfs schijnbaar legitieme functionaliteit bieden om argwaan te voorkomen.
Hoe SparkCat gegevens verzamelt
Op Android-apparaten decodeert en activeert de malware een OCR-plug-in die wordt aangestuurd door de ML Kit-bibliotheek van Google. Het scant afbeeldingsgalerijen op tekst die overeenkomt met vooraf gedefinieerde trefwoorden van de C2-server. Alle gemarkeerde afbeeldingen worden vervolgens naar de aanvallers verzonden.
De iOS-variant van SparkCat gebruikt exact hetzelfde ML Kit-gebaseerde OCR-mechanisme om gevoelige informatie te identificeren en extraheren. Uniek is dat deze versie ook een Rust-gebaseerd communicatieframework gebruikt voor interactie met zijn C2-server, een ongebruikelijke tactiek bij mobiele bedreigingen.
Wie zit er achter de aanval?
Analyse van de gebruikte trefwoorden en de distributiepatronen suggereert dat SparkCat zich voornamelijk richt op gebruikers in Europa en Azië. Het bewijs wijst op bedreigingsactoren die vloeiend Chinees spreken, hoewel hun exacte identiteit onbekend blijft.
Een sluipende Trojan in vermomming
Wat SparkCat bijzonder misleidend maakt, is het vermogen om te werken zonder rode vlaggen te laten opduiken. De toestemmingen die het aanvraagt, lijken óf noodzakelijk voor de geadverteerde functies van de applicatie, óf onschadelijk, waardoor het zich kan mengen zonder argwaan te wekken. Deze sluipende aanpak maakt het voor gebruikers moeilijker om de bedreiging te herkennen voordat hun cryptocurrency wallets worden gecompromitteerd.
