Kaspersky -onderzoekers hebben geïdentificeerd Een malware -campagne, SPARKCAT genoemd, die sinds maart 2024 kwaadaardige applicaties distribueert op zowel Android- als iOS -platforms. Deze malware maakt gebruik van optische karakterherkenning (OCR) om fotobibliotheken te scannen op herstelzinnen van cryptocurrency -portemonnee.
“Kaspersky Threat Research Expertise Center heeft een nieuwe data-stelen Trojan, Sparkcat, actief in AppStore en Google Play ontdekt sinds minstens maart 2024. Dit is het eerste bekende exemplaar van op optische herkenning gebaseerde malware die in AppStore verschijnt. SparkCat gebruikt machine learning om beeldgalerijen te scannen en screenshots te stelen die cryptocurrency -portemonnee herstelzinnen bevatten. Het kan ook andere gevoelige gegevens vinden en extraheren in afbeeldingen, zoals wachtwoorden. ”
-Kaspersky
Kaspersky identificeert Sparkcat Malware gericht op crypto -portefeuilles op iOS en Android
De onderzoekuitgevoerd door Dmitry Kalinin en Sergey Puzan, merkten op dat hoewel sommige van de getroffen apps, zoals voedselbezorgdiensten, legitiem lijken, anderen gebruikers opzettelijk lijken te bedriegen. Op 6 februari bevestigde Kaspersky dat getroffen toepassingen uit de App Store waren verwijderd, waarbij Apple de verwijdering van 11 apps die code deelden met nog eens 89 apps die eerder werden afgewezen of verwijderd vanwege beveiligingsproblemen.
De malware werd voornamelijk gevonden in een iOS -app genaamd Comecome, die ook op Google Play verschijnt. Volgens Kaspersky is deze app ontworpen om de toegang tot de cryptocurrency van gebruikers te grijpen door screenshots te maken met herstelzinnen, ook wel zaadfrases genoemd. De malware werkt met behulp van een kwaadwillende softwareontwikkelingskit (SDK) die een OCR -plug -in decodeert, die het scannen van screenshots van mobiele apparaten vergemakkelijkt.
Kaspersky benadrukte dat geïnfecteerde Google Play -applicaties meer dan 242.000 keer zijn gedownload. Dit incident markeert de eerste ontdekking van een app die is geïnfecteerd met OCR -spyware in de App Store van Apple en betwist het idee van de onfeilbaarheid van het platform tegen malwaredreigingen.
Flexibel-ferret malware richt MAC-gebruikers door Xprotect-maatregelen te ontwijken
De malware richt zich niet alleen op crypto -portemonnee -herstelzinnen, maar is ook flexibel genoeg om andere gevoelige informatie uit de galerij te extraheren, zoals berichten of wachtwoorden die zijn vastgelegd in screenshots. De onderzoekers benadrukten dat de aanvragen van de malware om machtigingen goedaardig of noodzakelijk kunnen lijken, waardoor het detectie kan ontwijken.
De SparkCat Malware -campagne wordt naar schatting gericht op Android- en iOS -gebruikers, voornamelijk in Europa en Azië. Kaspersky merkte op dat de exacte methode van infectie nog wordt onderzocht, omdat ze niet kunnen bevestigen of Sparkcat is geïntroduceerd door een aanval van supply chain of kwaadaardige ontwikkelaarsacties.
In gerelateerde bevindingen omvat Spark een verduisterde module geïdentificeerd als Spark, voornamelijk geschreven in Java, die communiceert met een externe command-and-control (C2) -server via een op roest gebaseerd protocol. Bij het verbinding maken met de C2 -server maakt de malware gebruik van de Textrecognizer -interface van Google’s ML Kit Library om tekst uit afbeeldingen te extraheren.
Aanvullende analyse onthulde dat het bedrieglijke karakter van de malware het mogelijk maakt om gebruikers te misleiden om toegang te geven tot hun fotobibliotheken nadat ze screenshots van herstelzinnen hebben vastgelegd. Het gedetailleerde rapport van Kaspersky verklaarde dat “de machtigingen die het aanvraagt, kunnen lijken alsof ze nodig zijn voor zijn kernfunctionaliteit of op het eerste gezicht onschadelijk lijken.”
Uitgelichte afbeeldingskrediet: Kerem gülen/ideogram
