Вредоносное ПО для Кражи Фраз Восстановления Криптокошельков
Обзор Вредоносной Кампании SparkCat
По данным исследователей кибербезопасности из Kaspersky, новая вредоносная кампания под названием "SparkCat" проникла в App Store и Google Play, используя технологию оптического распознавания символов (OCR) для кражи фраз восстановления криптовалютных кошельков из галерей изображений пользователей.
Эта кампания активна с марта 2024 года и уже собрала более 242 000 загрузок только на устройствах Android. Это первый известный случай, когда подобное ПО появилось как в App Store, так и в Google Play. SparkCat использует продвинутые методы для атаки на пользователей криптовалют. Оно анализирует изображения в галереях устройств, находя фразы восстановления кошельков. Зловредное ПО поддерживает несколько языков, включая английский, китайский, корейский и японский, что расширяет его потенциальную аудиторию. Несмотря на удаление вредоносных приложений из App Store, SparkCat остаётся серьёзной угрозой, способной похищать данные, выходящие за рамки криптовалютных кошельков.
Работа на Android и iOS
SparkCat адаптирует свои механизмы атаки под разные платформы, используя специфические методы маскировки:
- На Android: Вредоносное ПО проникает через SDK "Spark", замаскированный под инструмент аналитики. Оно загружает зашифрованные конфигурационные файлы из репозиториев GitLab и использует OCR Google ML Kit для анализа галереи устройства.
- На iOS: SparkCat встраивается в систему через вредоносный фреймворк, маскирующийся под "GZIP" или "googleappsdk". Он интегрируется с Google ML Kit и применяет сложные техники обфускации. iOS-версия запрашивает доступ к галерее только в определённые моменты, например, при открытии чата поддержки, чтобы избежать подозрений.
Обе версии используют технологии распознавания текста и продвинутые методы сокрытия, чтобы уклоняться от обнаружения.
Векторы Заражения
SparkCat распространяется через на первый взгляд легитимные приложения в официальных магазинах. Вредоносное ПО было обнаружено в приложениях для доставки еды и платформах на базе ИИ. Зафиксировано:
Этот подход позволяет SparkCat обходить стандартные механизмы защиты, так как пользователи доверяют официальным магазинам. Факт проникновения SparkCat в App Store и Google Play подчёркивает сложность обнаружения подобных угроз.
Механизм Кражи Данных
SparkCat использует сложный механизм кражи данных, ориентируясь на фразы восстановления криптовалютных кошельков. Он сканирует изображения в галерее устройства с помощью OCR Google ML Kit. Если в изображении обнаружена потенциально ценная информация, оно загружается на серверы злоумышленников для дальнейшего анализа.
Этот метод позволяет обходить традиционные механизмы защиты, направленные на текстовые данные, делая SparkCat особенно опасным для пользователей, которые хранят важную информацию в виде изображений. Поддержка нескольких языков расширяет круг потенциальных жертв и повышает эффективность атак.
Заключение
SparkCat представляет серьёзную угрозу для пользователей криптовалют, поскольку использует передовые технологии для кражи фраз восстановления из изображений. Его проникновение в официальные магазины приложений демонстрирует сложности в выявлении подобных угроз. Пользователям настоятельно рекомендуется избегать хранения чувствительной информации в виде изображений и внимательно следить за доступами, запрашиваемыми приложениями.