Malware SparkCat
Niedawno odkryta kampania zagrożeń, nazwana SparkCat, zinfiltrowała zarówno App Store firmy Apple, jak i Google Play, wykorzystując oszukańcze aplikacje zaprojektowane do zbierania fraz odzyskiwania portfeli kryptowalutowych. Te aplikacje, zamaskowane jako legalne usługi, potajemnie wydobywają frazy mnemoniczne z urządzeń ofiar, narażając aktywa cyfrowe na ryzyko.
Spis treści
Wykorzystanie OCR do zbierania fraz odzyskiwania portfela
SparkCat wykorzystuje zaawansowany model OpticalCharacter Recognition (OCR) do skanowania bibliotek zdjęć użytkowników w poszukiwaniu obrazów zawierających frazy odzyskiwania portfela. Po wykryciu te wrażliwe obrazy są przesyłane na zdalny serwer Command-and-Control (C2). Nazwa kampanii pochodzi od wbudowanego zestawu narzędzi programistycznych (SDK), który zawiera komponent Java o nazwie Spark, podszywający się pod moduł analityczny. Nadal nie jest jasne, czy ta infiltracja była wynikiem ataku na łańcuch dostaw, czy też została celowo wprowadzona przez programistów.
Włamanie do App Store firmy Apple
Chociaż zagrożenia dla Androida z możliwościami OCR pojawiały się już wcześniej, SparkCat stanowi jeden z pierwszych przypadków takiego ataku, który trafił do App Store firmy Apple. W Google Play zainfekowane aplikacje zostały pobrane ponad 242 000 razy, zanim zostały usunięte z obu platform 7 lutego 2025 r.
Operacja wieloplatformowa
Dowody wskazują, że SparkCat działa od marca 2024 r. Jego niebezpieczne aplikacje są dystrybuowane zarówno za pośrednictwem oficjalnych, jak i zewnętrznych sklepów z aplikacjami. Oszukańcze aplikacje podszywają się pod narzędzia AI, usługi dostawy żywności i platformy Web3, a niektóre z nich zapewniają nawet pozornie legalną funkcjonalność, aby uniknąć podejrzeń.
Jak SparkCat zbiera dane
Na urządzeniach z systemem Android złośliwe oprogramowanie odszyfrowuje i aktywuje wtyczkę OCR zasilaną przez bibliotekę ML Kit firmy Google. Skanuje galerie obrazów w poszukiwaniu tekstu pasującego do wstępnie zdefiniowanych słów kluczowych z serwera C2. Następnie wszelkie oznaczone obrazy są przesyłane do atakujących.
Wersja iOS SparkCat wykorzystuje dokładny mechanizm OCR oparty na ML Kit do identyfikowania i wyodrębniania poufnych informacji. Co wyjątkowe, ta wersja wykorzystuje również oparty na Rust framework komunikacyjny do interakcji z serwerem C2 — rzadką taktykę w zagrożeniach mobilnych.
Kto stoi za atakiem?
Analiza użytych słów kluczowych i wzorców dystrybucji sugeruje, że SparkCat atakuje przede wszystkim użytkowników w Europie i Azji. Dowody wskazują na aktorów zagrożenia biegle władających językiem chińskim, choć ich dokładna tożsamość pozostaje nieznana.
Ukryty trojan w przebraniu
To, co czyni SparkCat szczególnie zwodniczym, to jego zdolność do działania bez wzbudzania podejrzeń. Uprawnienia, o które prosi, wydają się być albo niezbędne do reklamowanych funkcji aplikacji, albo nieszkodliwe, pozwalając jej wtopić się w otoczenie bez wzbudzania podejrzeń. To ukryte podejście utrudnia użytkownikom rozpoznanie zagrożenia, zanim ich portfele kryptowalutowe zostaną naruszone.
