SparkCat Malware
O campanie de amenințări descoperită recent, numită SparkCat, s-a infiltrat atât în App Store-ul Apple, cât și în Google Play, folosind aplicații înșelătoare concepute pentru a colecta fraze de recuperare a portofelului cu criptomonede. Aceste aplicații, deghizate în servicii legitime, extrag în secret fraze mnemonice de pe dispozitivele victimelor, punând în pericol activele digitale.
Cuprins
Exploatarea OCR pentru a recolta fraze de recuperare a portofelului
SparkCat folosește un model avansat de recunoaștere optică a caracterelor (OCR) pentru a scana bibliotecile de fotografii ale utilizatorilor pentru imagini care conțin fraze de recuperare a portofelului. Odată detectate, aceste imagini sensibile sunt exfiltrate pe un server de comandă și control la distanță (C2). Campania poartă numele unui kit de dezvoltare software încorporat (SDK) care include o componentă Java numită Spark, care se preface ca un modul de analiză. Rămâne neclar dacă această infiltrare a rezultat dintr-un atac al lanțului de aprovizionare sau a fost introdusă în mod deliberat de dezvoltatori.
Intrarea în App Store al Apple
În timp ce amenințările Android cu capabilități OCR au mai apărut, SparkCat reprezintă una dintre primele cazuri ale unui astfel de atac care a ajuns în App Store al Apple. Pe Google Play, aplicațiile compromise au fost descărcate de peste 242.000 de ori înainte de a fi eliminate de pe ambele platforme pe 7 februarie 2025.
O operațiune cu mai multe platforme
Dovezile sugerează că SparkCat este activ din martie 2024. Aplicațiile sale nesigure sunt distribuite atât prin magazine de aplicații oficiale, cât și prin intermediul unor terțe părți. Aplicațiile frauduloase uzurpă identitatea instrumentelor AI, a serviciilor de livrare a alimentelor și a platformelor Web3, unele chiar oferind funcționalități aparent legitime pentru a evita suspiciunile.
Cum SparkCat colectează datele
Pe dispozitivele Android, malware-ul decriptează și activează un plug-in OCR alimentat de biblioteca ML Kit de la Google. Scanează galeriile de imagini pentru text care se potrivește cu cuvinte cheie predefinite de pe serverul său C2. Orice imagini semnalizate sunt apoi transmise atacatorilor.
Varianta iOS a lui SparkCat folosește mecanismul exact OCR bazat pe ML Kit pentru a identifica și extrage informații sensibile. În mod unic, această versiune folosește și un cadru de comunicare bazat pe Rust pentru a interacționa cu serverul său C2 - o tactică neobișnuită în amenințările mobile.
Cine se află în spatele atacului?
Analiza cuvintelor cheie utilizate și a modelelor de distribuție sugerează că SparkCat vizează în primul rând utilizatorii din Europa și Asia. Dovezile indică actori de amenințări care vorbesc fluent chineza, deși identitatea lor exactă rămâne necunoscută.
Un troian ascuns deghizat
Ceea ce face ca SparkCat să fie deosebit de înșelător este capacitatea sa de a funcționa fără a ridica semnale roșii. Permisiunile pe care le solicită par fie necesare pentru funcțiile promovate ale aplicației, fie inofensive, permițându-i să se integreze fără a declanșa suspiciuni. Această abordare ascunsă face mai greu pentru utilizatori să recunoască amenințarea înainte ca portofelele lor criptomonede să fie compromise.
