Шкідливе програмне забезпечення SparkCat
Нещодавно виявлена кампанія загроз, яка отримала назву SparkCat, проникла в Apple App Store і Google Play за допомогою шахрайських програм, призначених для збору фраз для відновлення гаманця криптовалюти. Ці програми, замасковані під законні служби, таємно витягують мнемонічні фрази з пристроїв жертв, піддаючи цифрові активи ризику.
Зміст
Використання OCR для збирання фраз відновлення гаманця
SparkCat використовує розширену модель оптичного розпізнавання символів (OCR) для сканування бібліотек фотографій користувачів на зображення, що містять фрази відновлення гаманця. Після виявлення ці конфіденційні зображення передаються на віддалений сервер командування та керування (C2). Кампанія названа на честь вбудованого набору програмного забезпечення (SDK), який включає компонент Java під назвою Spark, який маскується під аналітичний модуль. Залишається незрозумілим, чи це проникнення було результатом атаки на ланцюжок поставок, чи було навмисно введено розробниками.
Злом до Apple App Store
Хоча загрози Android із можливостями оптичного розпізнавання символів з’являлися раніше, SparkCat є одним із перших випадків такої атаки, яка потрапила в App Store від Apple. У Google Play скомпрометовані програми були завантажені понад 242 000 разів, перш ніж їх було видалено з обох платформ 7 лютого 2025 року.
Багатоплатформна операція
Докази свідчать про те, що SparkCat працює з березня 2024 року. Його небезпечні програми поширюються як через офіційні, так і сторонні магазини додатків. Шахрайські додатки імітують інструменти штучного інтелекту, служби доставки їжі та платформи Web3, а деякі навіть надають, здавалося б, законні функції, щоб уникнути підозр.
Як SparkCat збирає дані
На пристроях Android зловмисне програмне забезпечення розшифровує та активує плагін OCR на базі бібліотеки Google ML Kit. Він сканує галереї зображень на пошук тексту, який відповідає попередньо визначеним ключовим словам із його сервера C2. Потім будь-які позначені зображення передаються зловмисникам.
Варіант SparkCat для iOS використовує механізм OCR на основі ML Kit для ідентифікації та вилучення конфіденційної інформації. Унікально, що ця версія також використовує комунікаційну структуру на основі Rust для взаємодії з сервером C2 — незвичайна тактика для мобільних загроз.
Хто стоїть за атакою?
Аналіз використаних ключових слів і моделей розповсюдження свідчить про те, що SparkCat націлений переважно на користувачів у Європі та Азії. Докази вказують на те, що загрозливі особи вільно володіють китайською мовою, хоча їх точні особи залишаються невідомими.
Прихований троян під маскою
Що робить SparkCat особливо оманливим, так це його здатність працювати без попередження. Дозволи, які він запитує, здаються або необхідними для рекламованих функцій програми, або нешкідливими, що дозволяє їй змішуватися, не викликаючи підозр. Цей прихований підхід ускладнює користувачам розпізнати загрозу до того, як їхні криптовалютні гаманці будуть зламані.
