Вредоносное ПО SparkCat
Недавно раскрытая кампания угроз, получившая название SparkCat, проникла как в App Store от Apple, так и в Google Play, используя обманные приложения, предназначенные для сбора фраз восстановления криптовалютного кошелька. Эти приложения, замаскированные под легитимные сервисы, тайно извлекают мнемонические фразы из устройств жертв, подвергая цифровые активы риску.
Оглавление
Использование OCR для сбора фраз для восстановления кошелька
SparkCat использует усовершенствованную модель оптического распознавания символов (OCR) для сканирования библиотек фотографий пользователей на наличие изображений, содержащих фразы для восстановления кошелька. После обнаружения эти конфиденциальные изображения передаются на удаленный сервер Command-and-Control (C2). Кампания названа в честь встроенного комплекта разработки программного обеспечения (SDK), включающего компонент Java под названием Spark, который маскируется под аналитический модуль. Остается неясным, было ли это проникновение результатом атаки на цепочку поставок или было намеренно внедрено разработчиками.
Взлом App Store от Apple
Хотя угрозы Android с возможностями OCR появлялись и раньше, SparkCat представляет собой один из первых случаев такой атаки, проникшей в App Store от Apple. В Google Play скомпрометированные приложения были загружены более 242 000 раз, прежде чем были удалены с обеих платформ 7 февраля 2025 года.
Многоплатформенная операция
Факты свидетельствуют о том, что SparkCat действует с марта 2024 года. Его небезопасные приложения распространяются как через официальные, так и через сторонние магазины приложений. Мошеннические приложения выдают себя за инструменты ИИ, службы доставки еды и платформы Web3, а некоторые даже предоставляют, казалось бы, легитимные функции, чтобы избежать подозрений.
Как SparkCat собирает данные
На устройствах Android вредоносная программа расшифровывает и активирует плагин OCR, работающий на базе библиотеки ML Kit от Google. Она сканирует галереи изображений на наличие текста, соответствующего предопределенным ключевым словам с его сервера C2. Все помеченные изображения затем передаются злоумышленникам.
Вариант SparkCat для iOS использует точный механизм OCR на основе ML Kit для идентификации и извлечения конфиденциальной информации. Уникально, что эта версия также использует коммуникационный фреймворк на основе Rust для взаимодействия с сервером C2 — необычная тактика в мобильных угрозах.
Кто стоит за атакой?
Анализ используемых ключевых слов и закономерностей распространения показывает, что SparkCat в первую очередь нацелен на пользователей в Европе и Азии. Доказательства указывают на то, что злоумышленники свободно владеют китайским языком, хотя их точная личность остается неизвестной.
Скрытый троян в маскировке
Что делает SparkCat особенно обманчивым, так это его способность работать, не вызывая подозрений. Запрашиваемые им разрешения кажутся либо необходимыми для рекламируемых функций приложения, либо безобидными, что позволяет ему скрываться, не вызывая подозрений. Такой скрытый подход затрудняет для пользователей распознавание угрозы до того, как их криптовалютные кошельки будут скомпрометированы.
