Škodlivý softvér SparkCat
Nedávno odhalená kampaň proti hrozbám s názvom SparkCat infiltrovala Apple App Store aj Google Play pomocou klamlivých aplikácií určených na zbieranie fráz na obnovenie kryptomenovej peňaženky. Tieto aplikácie, maskované ako legitímne služby, tajne extrahujú mnemotechnické frázy zo zariadení obetí, čím ohrozujú digitálne aktíva.
Obsah
Využitie OCR na získanie fráz na obnovenie peňaženky
SparkCat využíva pokročilý model optického rozpoznávania znakov (OCR) na skenovanie fotografických knižníc používateľov na obrázky obsahujúce frázy na obnovenie peňaženky. Po zistení sú tieto citlivé obrázky prenesené na vzdialený server Command-and-Control (C2). Kampaň je pomenovaná po vstavanej súprave na vývoj softvéru (SDK), ktorá obsahuje komponent Java s názvom Spark, ktorý sa maskuje ako analytický modul. Zostáva nejasné, či táto infiltrácia bola výsledkom útoku dodávateľského reťazca alebo bola zámerne zavedená vývojármi.
Preniknutie do obchodu Apple App Store
Zatiaľ čo hrozby pre Android s funkciami OCR sa objavili už predtým, SparkCat predstavuje jeden z prvých prípadov takéhoto útoku, ktorý sa dostal do obchodu Apple App Store. V službe Google Play boli napadnuté aplikácie stiahnuté viac ako 242 000-krát, kým boli 7. februára 2025 odstránené z oboch platforiem.
Prevádzka na viacerých platformách
Dôkazy naznačujú, že SparkCat je aktívny od marca 2024. Jeho nebezpečné aplikácie sú distribuované prostredníctvom oficiálnych obchodov s aplikáciami a aplikácií tretích strán. Podvodné aplikácie sa vydávajú za nástroje AI, služby na doručovanie jedla a platformy Web3, pričom niektoré dokonca poskytujú zdanlivo legitímne funkcie, aby sa vyhli podozreniu.
Ako SparkCat zhromažďuje údaje
Na zariadeniach so systémom Android malvér dešifruje a aktivuje doplnok OCR, ktorý využíva knižnica Google ML Kit. Skenuje v galériách obrázkov text, ktorý zodpovedá preddefinovaným kľúčovým slovám zo servera C2. Všetky označené obrázky sa potom prenesú útočníkom.
Variant SparkCat pre iOS používa presný mechanizmus OCR založený na súprave ML Kit na identifikáciu a extrahovanie citlivých informácií. Táto verzia jedinečne využíva aj komunikačný rámec založený na Rust na interakciu so serverom C2 – nezvyčajná taktika pri mobilných hrozbách.
Kto stojí za útokom?
Analýza použitých kľúčových slov a distribučných vzorcov naznačuje, že SparkCat sa primárne zameriava na používateľov v Európe a Ázii. Dôkazy poukazujú na aktérov hrozieb, ktorí ovládajú čínštinu, hoci ich presná identita zostáva neznáma.
Ukradnutý trójsky kôň v prestrojení
To, čo robí SparkCat obzvlášť klamlivým, je jeho schopnosť fungovať bez zdvíhania červených vlajok. Povolenia, ktoré požaduje, sa zdajú byť nevyhnutné pre inzerované funkcie aplikácie alebo neškodné, čo jej umožňuje splynúť bez podozrenia. Tento tajný prístup sťažuje používateľom rozpoznať hrozbu skôr, ako budú ohrozené ich kryptomenové peňaženky.
