SparkCat Malware
Ang isang kamakailang natuklasang kampanya ng pagbabanta, na tinawag na SparkCat, ay pumasok sa parehong App Store ng Apple at Google Play gamit ang mga mapanlinlang na app na idinisenyo upang mangolekta ng mga parirala sa pagbawi ng cryptocurrency wallet. Ang mga application na ito, na itinago bilang mga lehitimong serbisyo, ay lihim na kumukuha ng mga mnemonic na parirala mula sa mga device ng mga biktima, na naglalagay sa panganib ng mga digital na asset.
Talaan ng mga Nilalaman
Pagsasamantala sa OCR para Mag-harvest ng Mga Parirala sa Pagbawi ng Wallet
Ginagamit ng SparkCat ang isang advanced na modelo ng OpticalCharacter Recognition (OCR) upang i-scan ang mga library ng larawan ng mga user para sa mga larawang naglalaman ng mga parirala sa pagbawi ng wallet. Kapag na-detect, ang mga sensitibong larawang ito ay na-exfiltrate sa isang remote na Command-and-Control (C2) server. Ang kampanya ay pinangalanan sa isang naka-embed na software development kit (SDK) na may kasamang Java component na tinatawag na Spark, na nagpapanggap bilang isang analytics module. Nananatiling hindi malinaw kung ang paglusot na ito ay nagresulta mula sa isang pag-atake sa supply chain o sadyang ipinakilala ng mga developer.
Pagpasok sa App Store ng Apple
Bagama't ang mga banta ng Android na may mga kakayahan sa OCR ay lumabas na dati, ang SparkCat ay kumakatawan sa isa sa mga unang pagkakataon ng naturang pag-atake na pumapasok sa App Store ng Apple. Sa Google Play, na-download ang mga nakompromisong application nang mahigit 242,000 beses bago inalis sa parehong platform noong Pebrero 7, 2025.
Isang Multi-Platform na Operasyon
Iminumungkahi ng ebidensya na ang SparkCat ay naging aktibo mula noong Marso 2024. Ang mga hindi ligtas na application nito ay ipinamamahagi sa pamamagitan ng parehong opisyal at third-party na mga tindahan ng app. Ang mga mapanlinlang na application ay nagpapanggap bilang mga tool ng AI, mga serbisyo sa paghahatid ng pagkain, at mga platform sa Web3, na ang ilan ay nagbibigay pa nga ng tila lehitimong pagpapagana upang maiwasan ang hinala.
Paano Nangongolekta ng Data ang SparkCat
Sa mga Android device, ang malware ay nagde-decrypt at nag-a-activate ng OCR plug-in na pinapagana ng library ng ML Kit ng Google. Ini-scan nito ang mga gallery ng imahe para sa teksto na tumutugma sa mga paunang natukoy na keyword mula sa C2 server nito. Ang anumang mga na-flag na imahe ay ipinapadala sa mga umaatake.
Ang iOS variant ng SparkCat ay gumagamit ng eksaktong ML Kit-based na mekanismo ng OCR upang matukoy at kunin ang sensitibong impormasyon. Kakaiba, ang bersyon na ito ay gumagamit din ng isang Rust-based na balangkas ng komunikasyon para sa pakikipag-ugnayan sa C2 server nito—isang hindi pangkaraniwang taktika sa mga banta sa mobile.
Sino ang Nasa likod ng Pag-atake?
Ang pagsusuri sa mga keyword na ginamit at ang mga pattern ng pamamahagi ay nagmumungkahi na ang SparkCat ay pangunahing nagta-target ng mga user sa Europe at Asia. Ang ebidensya ay tumutukoy sa pagbabanta ng mga aktor na may katatasan sa wikang Chinese, kahit na ang kanilang eksaktong pagkakakilanlan ay nananatiling hindi kilala.
Isang Stealthy Trojan in Disguise
Ang dahilan kung bakit partikular na mapanlinlang ang SparkCat ay ang kakayahang gumana nang hindi nagtataas ng mga pulang bandila. Ang mga pahintulot na hinihiling nito ay lumilitaw na kinakailangan para sa mga na-advertise na feature ng application o hindi nakapipinsala, na nagbibigay-daan dito na maghalo nang hindi nagpapalitaw ng hinala. Ang palihim na diskarte na ito ay nagpapahirap sa mga user na makilala ang banta bago makompromiso ang kanilang mga wallet ng cryptocurrency.
