Malware SparkCat
Një fushatë kërcënimi e zbuluar së fundmi, e quajtur SparkCat, ka infiltruar si në App Store të Apple ashtu edhe në Google Play duke përdorur aplikacione mashtruese të krijuara për të mbledhur frazat e rikuperimit të portofolit të kriptomonedhave. Këto aplikacione, të maskuara si shërbime legjitime, nxjerrin fshehurazi fraza kujtese nga pajisjet e viktimave, duke vënë në rrezik asetet dixhitale.
Tabela e Përmbajtjes
Duke shfrytëzuar OCR për të korrur frazat e rikuperimit të portofolit
SparkCat përdor një model të avancuar të Njohjes Optical Character (OCR) për të skanuar bibliotekat e fotografive të përdoruesve për imazhe që përmbajnë fraza të rikuperimit të portofolit. Pasi të zbulohen, këto imazhe të ndjeshme ekzfiltohen në një server të largët Command-and-Control (C2). Fushata është emëruar pas një komplete të integruar të zhvillimit të softuerit (SDK) që përfshin një komponent Java të quajtur Spark, i cili maskohet si një modul analitik. Mbetet e paqartë nëse ky depërtim ka rezultuar nga një sulm i zinxhirit të furnizimit apo është futur qëllimisht nga zhvilluesit.
Depërtimi në App Store të Apple
Ndërsa kërcënimet e Android me aftësitë OCR janë shfaqur më parë, SparkCat përfaqëson një nga rastet e para të një sulmi të tillë që hyn në App Store të Apple. Në Google Play, aplikacionet e komprometuara u shkarkuan mbi 242,000 herë përpara se të hiqeshin nga të dyja platformat më 7 shkurt 2025.
Një operacion me shumë platforma
Provat sugjerojnë se SparkCat ka qenë aktiv që nga marsi 2024. Aplikacionet e tij të pasigurta shpërndahen si nëpërmjet dyqaneve të aplikacioneve zyrtare ashtu edhe të palëve të treta. Aplikacionet mashtruese imitojnë mjetet e inteligjencës artificiale, shërbimet e ofrimit të ushqimit dhe platformat Web3, ku disa madje ofrojnë funksione në dukje legjitime për të shmangur dyshimin.
Si SparkCat mbledh të dhëna
Në pajisjet Android, malware deshifron dhe aktivizon një plug-in OCR të mundësuar nga biblioteka e Google ML Kit. Ai skanon galeritë e imazheve për tekst që përputhet me fjalë kyçe të paracaktuara nga serveri i tij C2. Çdo imazh i shënuar më pas u transmetohet sulmuesve.
Varianti iOS i SparkCat përdor mekanizmin e saktë OCR të bazuar në ML Kit për të identifikuar dhe nxjerrë informacione të ndjeshme. Në mënyrë unike, ky version përdor gjithashtu një kornizë komunikimi të bazuar në Rust për të bashkëvepruar me serverin e tij C2 - një taktikë e pazakontë në kërcënimet celulare.
Kush qëndron prapa sulmit?
Analiza e fjalëve kyçe të përdorura dhe modeleve të shpërndarjes sugjeron që SparkCat synon kryesisht përdoruesit në Evropë dhe Azi. Provat tregojnë se aktorët kërcënojnë me rrjedhshmëri në gjuhën kineze, megjithëse identiteti i tyre i saktë mbetet i panjohur.
Një Trojan i fshehtë i maskuar
Ajo që e bën SparkCat veçanërisht mashtruese është aftësia e tij për të vepruar pa ngritur flamuj të kuq. Lejet që ai kërkon duken ose të nevojshme për veçoritë e reklamuara të aplikacionit ose të padëmshme, duke e lejuar atë të përzihet pa shkaktuar dyshime. Kjo qasje e fshehtë e bën më të vështirë për përdoruesit të njohin kërcënimin përpara se kuletat e tyre të kriptomonedhave të komprometohen.
