تحذير أمان: برمجية القطة الشرارة تفحص صورك لمفاتيح المحفظة - أخبار مجال العملات الرقمية

• باستخدام Google ML Kit لاستخراج النصوص ، ينقل SparkCat البيانات المسروقة عبر قنوات اتصال مشفرة ، مما يجعل الكشف صعبًا.
• تتضمن طرق الهجوم الفريدة لـ SparkCat إطار Objective-C على نظام iOS و SDK قائم على Java على نظام Android.

ظهرت برامج البرمجيات الخبيثة الجديدة ، SparkCat ، وفقًا لتقرير صادر في 4 فبراير من قبل شركة الأمان السيبراني Kaspersky ، كتحدي لمستخدمي العملة المشفرة على نظامي التشغيل Android و iOS. يبدو أن البرامج الضارة مدمجة داخل تطبيقات أخرى تبدو غير ضارة. علاوة على ذلك ، فإنه يحصل على التفاصيل الهامة للمستخدم من جهازه المحمول بطريقة متطورة.

يستخدم SparkCat التعرف البصري على الحروف للسرقات

يقوم SparkCat بفحص الصور الموجودة في معرض الجهاز لعبارات استعادة محفظة العملات المشفرة. يقوم بفحصه من خلال التعرف الضوئي على النصوص، وهي تقنية تلتقط النص من الصور. المستخدمون الذين قاموا بحفظ بعض لقطات الشاشة والملاحظات المتعلقة بالمحافظ هم ضحايا محتملين لاختراق البيانات.

بدأ هذا البرامج الضارة في العمل في مارس 2024، وأصاب التطبيقات بما في ذلك تطبيقات المراسلة الذكية وخدمات طلب الطعام على متجر Google Play ومتجر التطبيقات التابع لشركة Apple. ومن اللافت للانتباه أنه لأول مرة يتم استخدام هذا النوع من البرمجيات الضارة القائمة على التعرف الضوئي على الحروف لسرقة العملات الرقمية باستخدام أجهزة Apple.

على نظام Android، ينتشر من خلال SDK يسمى Spark، وهو مبني على Java، يتنكر كوحدة تحليلية ويتم حقنه في التطبيقات. عندما يقوم المستخدم بتشغيل التطبيق المصاب، سيقوم البرنامج الضار بإسترداد ملف تكوين مشفر من مستودع GitLab عن بُعد.

بمجرد تنشيطه، يستخدم SparkCat وظيفة OCR في Google ML Kit لفحص الصور داخل معرض الجهاز. يبحث عن كلمات رئيسية تتعلق بعبارات استعادة محفظة العملات المشفرة بلغات متعددة، بما في ذلك الإنجليزية والصينية واليابانية والكورية وعدة لغات أوروبية، وفقًا لتقرير KasperSky

يُرسل البرامج الضارة صورًا إلى خادم تحكم فيه من قِبَل المهاجم لتهريب البيانات المسروقة. تشمل طرق النقل استخدام تخزين سحابي لأمازون، بالإضافة إلى بروتوكول مبني على لغة Rust. هذا يجعل التتبع أمرًا صعبًا حقًا لأنه ينطوي على قنوات اتصال مشفرة وتقنيات انتقال البيانات غير المعتادة.

التوافق مع نظام التشغيل iOS من خلال إطار خبيث

الإصدار iOS من SparkCat يعمل بشكل مختلف حيث يضم نفسه داخل التطبيقات المخترقة كإطار تحت أسماء مختلفة مثل GZIP، googleappsdk، أو stat. يتم تشويش هذا الإطار الخبيث، المكتوب بلغة Objective-C، باستخدام HikariLLVM ويدمج Google ML Kit لتحليل الصورة لمعرض الجهاز.

على عكس النسخة الخاصة بنظام Android ، في نظام iOS ، يطلب البرامج الضارة الوصول إلى معرض الصور فقط عند تنفيذ إجراءات محددة من قبل المستخدمين ، مثل فتح دردشة دعم داخل تطبيق مصاب. يقلل هذا الأمر من الشكوك مع السماح للبرامج الضارة باسترداد المعلومات المتعلقة بالمحفظة.

يزعم تقرير من كاسبرسكي أن البرامج الضارة، بخلاف عبارات الاسترداد، قادرة على سرقة بيانات حساسة أخرى. وتشمل ذلك كلمات المرور المخزنة ومحتويات الرسائل الملتقطة في لقطات الشاشة. يقدر خبراء الأمن أن SparkCat قد اخترقت بالفعل أكثر من 242،000 جهاز، ويقع معظمها في أوروبا وآسيا.

ومع ذلك، فإن أصل برامج الضارة غير معروف. بناءً على تعليقات الشفرة ورسائل الخطأ، يمكن تحديد أن المطورين يتحدثون الصينية. تستمر هجمات برامج الضارة على مستخدمي العملات المشفرة في التصاعد مع تكرار القراصنة الإلكترونيين في إيجاد طرق للتجاوز من إجراءات الأمان التي فرضتها سوق التطبيقات.

في سبتمبر 2024، حذرت بينانس من برمجيات الاختراق Clipper، التي استبدلت عناوين المحافظ المنسوخة بتلك التي تسيطر عليها المهاجمين، مما يؤدي إلى إرسال الضحايا بشكل غير مدرك إلى وجهات مالية احتيالية. كما ناقشنا، فقد فقد المستثمرون في العام الماضي 2024 أكثر من 3 مليارات دولار في عمليات احتيال واختراقات العملات المشفرة