SparkCat Malware
En nyligen upptäckt hotkampanj, kallad SparkCat, har infiltrerat både Apples App Store och Google Play med hjälp av vilseledande appar utformade för att samla in fraser för återställning av kryptovaluta plånbok. Dessa applikationer, förklädda som legitima tjänster, extraherar i hemlighet mnemoniska fraser från offrens enheter, vilket sätter digitala tillgångar på spel.
Innehållsförteckning
Utnyttja OCR för att skörda plånboksåterställningsfraser
SparkCat använder en avancerad OCR-modell (OpticalCharacter Recognition) för att skanna användarnas fotobibliotek efter bilder som innehåller plånboksfraser. När de upptäcks exfiltreras dessa känsliga bilder till en fjärrstyrd Command-and-Control-server (C2). Kampanjen är uppkallad efter ett inbyggt mjukvaruutvecklingskit (SDK) som innehåller en Java-komponent som heter Spark, som maskerar sig som en analysmodul. Det är fortfarande oklart om denna infiltration var ett resultat av en attack i leveranskedjan eller om den medvetet introducerades av utvecklare.
Inbrott i Apples App Store
Medan Android-hot med OCR-funktioner har dykt upp tidigare, representerar SparkCat ett av de första fallen av en sådan attack på väg in i Apples App Store. På Google Play laddades de utsatta apparna ner över 242 000 gånger innan de togs bort från båda plattformarna den 7 februari 2025.
En operation med flera plattformar
Bevis tyder på att SparkCat har varit aktiv sedan mars 2024. Dess osäkra applikationer distribueras via både officiella och tredjeparts appbutiker. De bedrägliga applikationerna efterliknar AI-verktyg, matleveranstjänster och Web3-plattformar, med vissa till och med tillhandahåller till synes legitima funktioner för att undvika misstankar.
Hur SparkCat samlar in data
På Android-enheter dekrypterar och aktiverar skadlig programvara en OCR-plugin som drivs av Googles ML Kit-bibliotek. Den skannar bildgallerier efter text som matchar fördefinierade nyckelord från sin C2-server. Alla flaggade bilder överförs sedan till angriparna.
iOS-varianten av SparkCat använder den exakta ML Kit-baserade OCR-mekanismen för att identifiera och extrahera känslig information. Unikt är att den här versionen också använder ett Rust-baserat kommunikationsramverk för att interagera med sin C2-server – en ovanlig taktik i mobilhot.
Vem ligger bakom attacken?
Analys av de använda sökorden och distributionsmönstren tyder på att SparkCat främst riktar sig till användare i Europa och Asien. Bevisen pekar på hotaktörer som talar flytande kinesiska, även om deras exakta identitet fortfarande är okänd.
En smygande trojan i förklädd
Det som gör SparkCat särskilt vilseledande är dess förmåga att fungera utan att hissa röda flaggor. Behörigheterna som den begär verkar antingen nödvändiga för programmets annonserade funktioner eller ofarliga, vilket gör att den kan smälta in utan att utlösa misstankar. Detta smygande tillvägagångssätt gör det svårare för användare att känna igen hotet innan deras kryptovaluta-plånböcker äventyras.
