SparkCat Malware

ਹਾਲ ਹੀ ਵਿੱਚ ਸਾਹਮਣੇ ਆਈ ਇੱਕ ਧਮਕੀ ਮੁਹਿੰਮ, ਜਿਸਨੂੰ ਸਪਾਰਕੈਟ ਕਿਹਾ ਜਾਂਦਾ ਹੈ, ਨੇ ਐਪਲ ਦੇ ਐਪ ਸਟੋਰ ਅਤੇ ਗੂਗਲ ਪਲੇ ਦੋਵਾਂ ਵਿੱਚ ਕ੍ਰਿਪਟੋਕੁਰੰਸੀ ਵਾਲਿਟ ਰਿਕਵਰੀ ਵਾਕਾਂਸ਼ਾਂ ਨੂੰ ਇਕੱਠਾ ਕਰਨ ਲਈ ਤਿਆਰ ਕੀਤੇ ਗਏ ਧੋਖੇਬਾਜ਼ ਐਪਸ ਦੀ ਵਰਤੋਂ ਕਰਕੇ ਘੁਸਪੈਠ ਕੀਤੀ ਹੈ। ਇਹ ਐਪਲੀਕੇਸ਼ਨਾਂ, ਜਾਇਜ਼ ਸੇਵਾਵਾਂ ਦੇ ਭੇਸ ਵਿੱਚ, ਪੀੜਤਾਂ ਦੇ ਡਿਵਾਈਸਾਂ ਤੋਂ ਗੁਪਤ ਰੂਪ ਵਿੱਚ ਯਾਦਦਾਸ਼ਤ ਵਾਕਾਂਸ਼ ਕੱਢਦੀਆਂ ਹਨ, ਜਿਸ ਨਾਲ ਡਿਜੀਟਲ ਸੰਪਤੀਆਂ ਨੂੰ ਜੋਖਮ ਵਿੱਚ ਪਾਇਆ ਜਾਂਦਾ ਹੈ।

ਵਾਲਿਟ ਰਿਕਵਰੀ ਵਾਕਾਂਸ਼ਾਂ ਦੀ ਵਾਢੀ ਲਈ OCR ਦੀ ਵਰਤੋਂ ਕਰਨਾ

ਸਪਾਰਕੈਟ ਇੱਕ ਉੱਨਤ ਆਪਟੀਕਲ ਕਰੈਕਟਰ ਰਿਕੋਗਨੀਸ਼ਨ (OCR) ਮਾਡਲ ਦੀ ਵਰਤੋਂ ਕਰਦਾ ਹੈ ਤਾਂ ਜੋ ਵਾਲਿਟ ਰਿਕਵਰੀ ਵਾਕਾਂਸ਼ ਵਾਲੀਆਂ ਤਸਵੀਰਾਂ ਲਈ ਉਪਭੋਗਤਾਵਾਂ ਦੀਆਂ ਫੋਟੋ ਲਾਇਬ੍ਰੇਰੀਆਂ ਨੂੰ ਸਕੈਨ ਕੀਤਾ ਜਾ ਸਕੇ। ਇੱਕ ਵਾਰ ਪਤਾ ਲੱਗਣ 'ਤੇ, ਇਹ ਸੰਵੇਦਨਸ਼ੀਲ ਤਸਵੀਰਾਂ ਇੱਕ ਰਿਮੋਟ ਕਮਾਂਡ-ਐਂਡ-ਕੰਟਰੋਲ (C2) ਸਰਵਰ ਵਿੱਚ ਐਕਸਫਿਲਟ ਕੀਤੀਆਂ ਜਾਂਦੀਆਂ ਹਨ। ਇਸ ਮੁਹਿੰਮ ਦਾ ਨਾਮ ਇੱਕ ਏਮਬੈਡਡ ਸੌਫਟਵੇਅਰ ਡਿਵੈਲਪਮੈਂਟ ਕਿੱਟ (SDK) ਦੇ ਨਾਮ 'ਤੇ ਰੱਖਿਆ ਗਿਆ ਹੈ ਜਿਸ ਵਿੱਚ ਸਪਾਰਕ ਨਾਮਕ ਇੱਕ ਜਾਵਾ ਕੰਪੋਨੈਂਟ ਸ਼ਾਮਲ ਹੈ, ਜੋ ਇੱਕ ਵਿਸ਼ਲੇਸ਼ਣ ਮੋਡੀਊਲ ਦੇ ਰੂਪ ਵਿੱਚ ਭੇਸ ਬਦਲਦਾ ਹੈ। ਇਹ ਅਜੇ ਅਸਪਸ਼ਟ ਹੈ ਕਿ ਇਹ ਘੁਸਪੈਠ ਸਪਲਾਈ ਚੇਨ ਹਮਲੇ ਦੇ ਨਤੀਜੇ ਵਜੋਂ ਹੋਈ ਸੀ ਜਾਂ ਡਿਵੈਲਪਰਾਂ ਦੁਆਰਾ ਜਾਣਬੁੱਝ ਕੇ ਪੇਸ਼ ਕੀਤੀ ਗਈ ਸੀ।

ਐਪਲ ਦੇ ਐਪ ਸਟੋਰ ਵਿੱਚ ਘੁਸਪੈਠ

ਜਦੋਂ ਕਿ OCR ਸਮਰੱਥਾਵਾਂ ਵਾਲੇ ਐਂਡਰਾਇਡ ਖ਼ਤਰੇ ਪਹਿਲਾਂ ਵੀ ਸਾਹਮਣੇ ਆ ਚੁੱਕੇ ਹਨ, ਸਪਾਰਕੈਟ ਐਪਲ ਦੇ ਐਪ ਸਟੋਰ ਵਿੱਚ ਅਜਿਹੇ ਹਮਲੇ ਦੇ ਪਹਿਲੇ ਮਾਮਲਿਆਂ ਵਿੱਚੋਂ ਇੱਕ ਹੈ। ਗੂਗਲ ਪਲੇ 'ਤੇ, ਸਮਝੌਤਾ ਕੀਤੀਆਂ ਗਈਆਂ ਐਪਲੀਕੇਸ਼ਨਾਂ ਨੂੰ 7 ਫਰਵਰੀ, 2025 ਨੂੰ ਦੋਵਾਂ ਪਲੇਟਫਾਰਮਾਂ ਤੋਂ ਹਟਾਉਣ ਤੋਂ ਪਹਿਲਾਂ 242,000 ਤੋਂ ਵੱਧ ਵਾਰ ਡਾਊਨਲੋਡ ਕੀਤਾ ਗਿਆ ਸੀ।

ਇੱਕ ਮਲਟੀ-ਪਲੇਟਫਾਰਮ ਓਪਰੇਸ਼ਨ

ਸਬੂਤ ਦਰਸਾਉਂਦੇ ਹਨ ਕਿ ਸਪਾਰਕਕੈਟ ਮਾਰਚ 2024 ਤੋਂ ਸਰਗਰਮ ਹੈ। ਇਸਦੀਆਂ ਅਸੁਰੱਖਿਅਤ ਐਪਲੀਕੇਸ਼ਨਾਂ ਅਧਿਕਾਰਤ ਅਤੇ ਤੀਜੀ-ਧਿਰ ਐਪ ਸਟੋਰਾਂ ਦੋਵਾਂ ਰਾਹੀਂ ਵੰਡੀਆਂ ਜਾਂਦੀਆਂ ਹਨ। ਧੋਖਾਧੜੀ ਵਾਲੀਆਂ ਐਪਲੀਕੇਸ਼ਨਾਂ AI ਟੂਲਸ, ਫੂਡ ਡਿਲੀਵਰੀ ਸੇਵਾਵਾਂ, ਅਤੇ Web3 ਪਲੇਟਫਾਰਮਾਂ ਦੀ ਨਕਲ ਕਰਦੀਆਂ ਹਨ, ਜਿਨ੍ਹਾਂ ਵਿੱਚੋਂ ਕੁਝ ਸ਼ੱਕ ਤੋਂ ਬਚਣ ਲਈ ਜਾਪਦਾ ਤੌਰ 'ਤੇ ਜਾਇਜ਼ ਕਾਰਜਸ਼ੀਲਤਾ ਪ੍ਰਦਾਨ ਕਰਦੀਆਂ ਹਨ।

ਸਪਾਰਕੈਟ ਡੇਟਾ ਕਿਵੇਂ ਇਕੱਠਾ ਕਰਦਾ ਹੈ

ਐਂਡਰਾਇਡ ਡਿਵਾਈਸਾਂ 'ਤੇ, ਮਾਲਵੇਅਰ ਗੂਗਲ ਦੀ ML ਕਿੱਟ ਲਾਇਬ੍ਰੇਰੀ ਦੁਆਰਾ ਸੰਚਾਲਿਤ ਇੱਕ OCR ਪਲੱਗ-ਇਨ ਨੂੰ ਡਿਕ੍ਰਿਪਟ ਅਤੇ ਕਿਰਿਆਸ਼ੀਲ ਕਰਦਾ ਹੈ। ਇਹ ਚਿੱਤਰ ਗੈਲਰੀਆਂ ਨੂੰ ਉਹਨਾਂ ਟੈਕਸਟ ਲਈ ਸਕੈਨ ਕਰਦਾ ਹੈ ਜੋ ਇਸਦੇ C2 ਸਰਵਰ ਤੋਂ ਪੂਰਵ-ਨਿਰਧਾਰਤ ਕੀਵਰਡਸ ਨਾਲ ਮੇਲ ਖਾਂਦਾ ਹੈ। ਫਿਰ ਕੋਈ ਵੀ ਫਲੈਗ ਕੀਤੀਆਂ ਤਸਵੀਰਾਂ ਹਮਲਾਵਰਾਂ ਨੂੰ ਭੇਜੀਆਂ ਜਾਂਦੀਆਂ ਹਨ।

ਸਪਾਰਕਕੈਟ ਦਾ iOS ਵੇਰੀਐਂਟ ਸੰਵੇਦਨਸ਼ੀਲ ਜਾਣਕਾਰੀ ਦੀ ਪਛਾਣ ਕਰਨ ਅਤੇ ਕੱਢਣ ਲਈ ਸਹੀ ML ਕਿੱਟ-ਅਧਾਰਿਤ OCR ਵਿਧੀ ਦੀ ਵਰਤੋਂ ਕਰਦਾ ਹੈ। ਵਿਲੱਖਣ ਤੌਰ 'ਤੇ, ਇਹ ਸੰਸਕਰਣ ਆਪਣੇ C2 ਸਰਵਰ ਨਾਲ ਇੰਟਰੈਕਟ ਕਰਨ ਲਈ ਇੱਕ Rust-ਅਧਾਰਿਤ ਸੰਚਾਰ ਢਾਂਚੇ ਦੀ ਵਰਤੋਂ ਵੀ ਕਰਦਾ ਹੈ - ਮੋਬਾਈਲ ਖਤਰਿਆਂ ਵਿੱਚ ਇੱਕ ਅਸਾਧਾਰਨ ਰਣਨੀਤੀ।

ਹਮਲੇ ਪਿੱਛੇ ਕੌਣ ਹੈ?

ਵਰਤੇ ਗਏ ਕੀਵਰਡਸ ਅਤੇ ਵੰਡ ਪੈਟਰਨਾਂ ਦੇ ਵਿਸ਼ਲੇਸ਼ਣ ਤੋਂ ਪਤਾ ਚੱਲਦਾ ਹੈ ਕਿ ਸਪਾਰਕਕੈਟ ਮੁੱਖ ਤੌਰ 'ਤੇ ਯੂਰਪ ਅਤੇ ਏਸ਼ੀਆ ਦੇ ਉਪਭੋਗਤਾਵਾਂ ਨੂੰ ਨਿਸ਼ਾਨਾ ਬਣਾਉਂਦਾ ਹੈ। ਸਬੂਤ ਧਮਕੀ ਦੇਣ ਵਾਲੇ ਅਦਾਕਾਰਾਂ ਵੱਲ ਇਸ਼ਾਰਾ ਕਰਦੇ ਹਨ ਜੋ ਚੀਨੀ ਭਾਸ਼ਾ ਵਿੱਚ ਰਵਾਨਗੀ ਰੱਖਦੇ ਹਨ, ਹਾਲਾਂਕਿ ਉਨ੍ਹਾਂ ਦੀ ਸਹੀ ਪਛਾਣ ਅਣਜਾਣ ਹੈ।

ਭੇਸ ਵਿੱਚ ਇੱਕ ਗੁਪਤ ਟਰੋਜਨ

ਸਪਾਰਕਕੈਟ ਨੂੰ ਖਾਸ ਤੌਰ 'ਤੇ ਧੋਖਾ ਦੇਣ ਵਾਲੀ ਗੱਲ ਇਹ ਹੈ ਕਿ ਇਸਦੀ ਬਿਨਾਂ ਕਿਸੇ ਚੇਤਾਵਨੀ ਦੇ ਕੰਮ ਕਰਨ ਦੀ ਯੋਗਤਾ ਹੈ। ਇਸ ਦੁਆਰਾ ਮੰਗੀਆਂ ਗਈਆਂ ਇਜਾਜ਼ਤਾਂ ਜਾਂ ਤਾਂ ਐਪਲੀਕੇਸ਼ਨ ਦੀਆਂ ਇਸ਼ਤਿਹਾਰੀ ਵਿਸ਼ੇਸ਼ਤਾਵਾਂ ਲਈ ਜ਼ਰੂਰੀ ਜਾਪਦੀਆਂ ਹਨ ਜਾਂ ਨਿਰਦੋਸ਼, ਜਿਸ ਨਾਲ ਇਹ ਸ਼ੱਕ ਪੈਦਾ ਕੀਤੇ ਬਿਨਾਂ ਅੰਦਰ ਰਲ ਸਕਦਾ ਹੈ। ਇਹ ਗੁਪਤ ਪਹੁੰਚ ਉਪਭੋਗਤਾਵਾਂ ਲਈ ਉਨ੍ਹਾਂ ਦੇ ਕ੍ਰਿਪਟੋਕਰੰਸੀ ਵਾਲੇਟ ਨਾਲ ਸਮਝੌਤਾ ਕੀਤੇ ਜਾਣ ਤੋਂ ਪਹਿਲਾਂ ਖ਼ਤਰੇ ਨੂੰ ਪਛਾਣਨਾ ਮੁਸ਼ਕਲ ਬਣਾਉਂਦੀ ਹੈ।