A zavaró fejlesztés során a Kaspersky kiberbiztonsági kutatói felfedezték a kifinomult rosszindulatú programot, amely mind az iOS, mind az Android eszközöket célozza meg. A SparkCat néven ismert rosszindulatú program az optikai karakterfelismerési (OCR) technológiát használja fel a felhasználók fotógalériáinak beolvasására és az érzékeny kriptovaluta pénztárca információk, különösen a helyreállítási mondatok kinyerésére a képernyőképekből. Az ezt a rosszindulatú alkalmazott rosszindulatú alkalmazásokat felfedezték mind a Google Play, mind az Apple App Store -ban, jelezve az ilyen támadás első ismert példáját az Apple ökoszisztémáján.
A Sparkcat malware -t először 2024 végén azonosították, de eredete ugyanazon év márciusáig vezet. Úgy működik, hogy hozzáférést kér a felhasználói fotógalériákhoz, amikor a fertőzött alkalmazások támogatási funkcióival kölcsönhatásba lépnek. Az engedély fogadásakor a Malware az OCR technológiát - különösen a Google ML Kit könyvtárát - használja a képek felismerhető kulcsszavak, például a kriptovaluta pénztárcákhoz kapcsolódó helyreállítási mondatok. Ha a rosszindulatú program egy helyreállítási kifejezést tartalmazó képet észlel, akkor visszaküldi egy parancs- és vezérlő szerverre, ahol a támadók a kinyert információkat felhasználhatják az áldozat kripto pénztárcájának veszélyeztetésére.
További információ:Az Apple rosszindulatú programokat fertőzött alkalmazásokat húz, amelyek ellophatják a privát adatait
Kaspersky kutatásafeltárhogy a rosszindulatú programokat legalább 18 Android alkalmazásba és 10 iOS alkalmazásba ágyazták be, amelyek közül néhányat több százezer alkalommal töltöttek le. Például olyan alkalmazásokat találtak, mint a Comecome, az élelmiszer -kézbesítési szolgáltatás, mindkét platformon a rosszindulatú szoftvereket hordozzák. A Wetink és az AnyGPT, két AI-alapú csevegőalkalmazás szintén megfertőződött. Noha a Google intézkedéseket tett az érintett Android -alkalmazások nagy részének eltávolítására az üzletből, néhányuk továbbra is rendelkezésre áll, és továbbra is kockázatot jelent. A helyzet az iOS alkalmazásokkal hasonló, a Kaspersky arról számol be, hogy néhányan az App Store -ban maradnak.
A SparkCat valódi eredete még mindig nem egyértelmű. Kaspersky nem erősítette meg, hogy a fejlesztők szándékosan vezettek -e be a rosszindulatú programot, vagy az ellátási lánc támadás eredménye. Figyelemre méltó azonban egy rozsda-alapú kommunikációs protokoll használata a parancs- és vezérlő szerverekkel való kölcsönhatáshoz. Ez a technika, amelyet általában nem látnak a mobil alkalmazásokban, további betekintést nyújthat a kampány mögött álló támadók kifinomultságába. Nevezetesen, úgy tűnik, hogy a rosszindulatú programok elsősorban Európában és Ázsiában a felhasználókat célozzák meg, ami azt sugallja, hogy a fenyegetés színésze folyékonyan beszélhet.
Ami a Sparkcat -t különösen veszélyesvé teszi, az a finomsága. Az alkalmazásokban nincsenek nyilvánvaló rosszindulatú implantátumok, és a rosszindulatú programok által igényelt engedélyek gyakran ártalmatlannak tűnnek, ami megnehezíti a felhasználók számára a fenyegetés felismerését. A rosszindulatú programok az OCR -t használják a felhasználók fotógalériáinak beolvasására, amelyek olyan érzékeny képeket tartalmazhatnak, mint például a kriptovaluta -helyreállítási mondatok, jelentősen növeli a pénzügyi veszteség kockázatát. Ezenkívül az a tény, hogy a rosszindulatú programok rejtett módon működik, azt jelenti, hogy a felhasználók nem tudják a jogsértést, amíg a kripto pénztárcájuk kiürül.
Ez az esemény kiemeli a megfelelő alkalmazás -ellenőrzés fontosságát. Annak ellenére, hogy ezek a rosszindulatú alkalmazások a hivatalos alkalmazásboltokban voltak elérhetők, továbbra is sikerült megkerülniük a biztonsági intézkedéseket és jelentős számú felhasználót befolyásoltak. A Kaspersky megállapításai egyértelmű emlékeztetők, hogy a felhasználóknak óvatosnak kell lenniük az alkalmazás engedélyének megadásakor, különösen amikor olyan alkalmazásokkal foglalkoznak, amelyek személyes fájlokhoz vagy képekhez való hozzáférést kérnek. Ezenkívül a felhasználóknak azt javasoljuk, hogy az érzékeny információkat, például a kriptovaluta pénztárca helyreállítási mondatait tárolják a titkosított jegyzetek tárolása vagy a jelszókezelők, nem pedig a könnyen hozzáférhető formátumok, például a képernyőképek.
Noha mind az Apple, mind a Google még hivatalos nyilatkozatokat tett a Sparkcat malware -ről, egyértelmű, hogy a támadás kiemeli a kifinomult rosszindulatú kampányok növekvő veszélyét. Fontos, hogy a felhasználók éber maradjanak, rendszeresen felülvizsgálják az alkalmazás engedélyeit, és eltávolítsák a potenciálisan veszélyeztetett alkalmazásokat személyes adataik védelme érdekében.