SparkCat Malware
Недавно откривена кампања претњи, названа СпаркЦат, инфилтрирала се и у Аппле-ов Апп Сторе и Гоогле Плаи користећи варљиве апликације дизајниране да прикупљају фразе за опоравак новчаника криптовалута. Ове апликације, прерушене у легитимне услуге, тајно извлаче мнемоничке фразе са уређаја жртава, доводећи дигитална средства у опасност.
Преглед садржаја
Коришћење ОЦР-а за прикупљање фраза за опоравак новчаника
СпаркЦат користи напредни модел ОптицалЦхарацтер Рецогнитион (ОЦР) да скенира библиотеке фотографија корисника у потрази за сликама које садрже фразе за опоравак новчаника. Када се открију, ове осетљиве слике се ексфилтрирају на удаљени сервер за команду и контролу (Ц2). Кампања је добила име по уграђеном комплету за развој софтвера (СДК) који укључује Јава компоненту под називом Спарк, која се маскира као аналитички модул. Остаје нејасно да ли је ова инфилтрација резултат напада на ланац снабдевања или су је програмери намерно увели.
Провала у Аппле-ову Апп Сторе
Док су се Андроид претње са ОЦР могућностима појављивале и раније, СпаркЦат представља једну од првих инстанци таквог напада који се пробијао у Аппле-ову Апп Сторе. На Гоогле Плаи-у, компромитоване апликације су преузете преко 242.000 пута пре него што су уклоњене са обе платформе 7. фебруара 2025.
Операција на више платформи
Докази сугеришу да је СпаркЦат активан од марта 2024. Његове несигурне апликације се дистрибуирају и преко званичних и независних продавница апликација. Лажне апликације опонашају АИ алате, услуге доставе хране и Веб3 платформе, а неке чак пружају наизглед легитимну функционалност како би се избегла сумња.
Како СпаркЦат прикупља податке
На Андроид уређајима, злонамерни софтвер дешифрује и активира ОЦР додатак који покреће Гоогле-ова библиотека МЛ Кит. Он скенира галерије слика у потрази за текстом који одговара унапред дефинисаним кључним речима са свог Ц2 сервера. Све означене слике се затим преносе нападачима.
иОС варијанта СпаркЦат-а користи тачан ОЦР механизам заснован на МЛ Кит-у за идентификацију и издвајање осетљивих информација. Јединствено, ова верзија такође користи комуникациони оквир заснован на Русту за интеракцију са својим Ц2 сервером — неуобичајена тактика у мобилним претњама.
Ко стоји иза напада?
Анализа коришћених кључних речи и образаца дистрибуције сугерише да СпаркЦат првенствено циља на кориснике у Европи и Азији. Докази указују на претње актерима који течно говоре кинески, иако је њихов тачан идентитет и даље непознат.
Прикривени тројанац у маски
Оно што СпаркЦат чини посебно варљивим је његова способност да ради без подизања црвених заставица. Дозволе које тражи изгледају или неопходне за рекламиране функције апликације или су безопасне, омогућавајући јој да се уклопи без изазивања сумње. Овај прикривени приступ отежава корисницима да препознају претњу пре него што њихови новчаници за криптовалуте буду угрожени.
