Zlonamerna programska oprema SparkCat
Nedavno odkrita kampanja groženj, imenovana SparkCat, se je infiltrirala v Applovo trgovino App Store in Google Play z uporabo zavajajočih aplikacij, zasnovanih za zbiranje fraz za obnovitev denarnice za kriptovalute. Te aplikacije, preoblečene v zakonite storitve, na skrivaj črpajo mnemonične fraze iz naprav žrtev in s tem ogrožajo digitalna sredstva.
Kazalo
Izkoriščanje OCR za zbiranje fraz za obnovitev denarnice
SparkCat uporablja napredni model OpticalCharacter Recognition (OCR) za pregled knjižnic fotografij uporabnikov za slike, ki vsebujejo fraze za obnovitev denarnice. Ko so te občutljive slike zaznane, se filtrirajo na oddaljeni strežnik za upravljanje in nadzor (C2). Kampanja je dobila ime po vgrajenem kompletu za razvoj programske opreme (SDK), ki vključuje komponento Java, imenovano Spark, ki se predstavlja kot analitični modul. Še vedno ni jasno, ali je ta infiltracija posledica napada na dobavno verigo ali pa so jo namerno uvedli razvijalci.
Vdor v Applovo App Store
Medtem ko so se grožnje Androidu z zmožnostmi OCR pojavile že prej, SparkCat predstavlja enega prvih primerov takšnega napada, ki se je prebil v Applovo App Store. V Googlu Play so bile ogrožene aplikacije prenesene več kot 242.000-krat, preden so bile 7. februarja 2025 odstranjene z obeh platform.
Operacija na več platformah
Dokazi kažejo, da je SparkCat aktiven od marca 2024. Njegove nevarne aplikacije se distribuirajo prek uradnih trgovin z aplikacijami in trgovin z aplikacijami tretjih oseb. Goljufive aplikacije ponazarjajo orodja umetne inteligence, storitve dostave hrane in platforme Web3, pri čemer nekatere celo zagotavljajo navidezno legitimne funkcije, da bi se izognili sumu.
Kako SparkCat zbira podatke
V napravah Android zlonamerna programska oprema dešifrira in aktivira vtičnik OCR, ki ga poganja Googlova knjižnica ML Kit. V galerijah slik išče besedilo, ki se ujema z vnaprej določenimi ključnimi besedami s strežnika C2. Vse označene slike se nato posredujejo napadalcem.
Različica SparkCat za iOS uporablja natančen mehanizem OCR, ki temelji na ML Kit, za prepoznavanje in pridobivanje občutljivih informacij. Edinstveno je, da ta različica uporablja tudi komunikacijski okvir, ki temelji na Rustu, za interakcijo s strežnikom C2 – neobičajna taktika pri mobilnih grožnjah.
Kdo stoji za napadom?
Analiza uporabljenih ključnih besed in distribucijskih vzorcev kaže, da SparkCat cilja predvsem na uporabnike v Evropi in Aziji. Dokazi kažejo na akterje groženj, ki tekoče govorijo kitajščino, čeprav njihova natančna identiteta ostaja neznana.
Prikriti trojanec v preobleki
Zaradi česar je SparkCat še posebej zavajajoč, je njegova sposobnost delovanja, ne da bi opozorila. Dovoljenja, ki jih zahteva, se zdijo bodisi potrebna za oglaševane funkcije aplikacije bodisi neškodljiva, kar ji omogoča, da se zlije, ne da bi sprožila sum. Zaradi tega prikritega pristopa uporabniki težje prepoznajo grožnjo, preden so njihove denarnice za kriptovalute ogrožene.
