- Используя Google ML Kit для извлечения текста, SparkCat передает украденные данные через зашифрованные каналы связи, что делает их обнаружение трудным.
- Уникальные методы атак SparkCat включают фреймворк Objective-C на iOS и SDK на базе Java на Android.
Новый вредоносный код SparkCat, согласно отчету компании по кибербезопасности Kaspersky от 4 февраля, стал вызовом как для пользователей криптовалюты на Android, так и на iOS. Вредоносное ПО появилось встроенным в другие приложения, которые кажутся безобидными. Более того, оно получает важные сведения о пользователе с его мобильного устройства при помощи изощренного подхода.
SparkCat использует оптическое распознавание символов для краж
SparkCat сканирует изображения, хранящиеся в галерее устройства, для восстановления фраз для восстановления криптовалютного кошелька. Он осуществляет сканирование с помощью оптического распознавания символов, технологии, которая захватывает текст с изображений. Пользователи, которые сохранили некоторые снимки экрана и заметки, относящиеся к кошелькам, являются потенциальными жертвами утечки данных.
Этот вредоносный код начал работать в марте 2024 года и заразил приложения, включая приложения для обмена сообщениями с использованием искусственного интеллекта и сервисы заказа еды в магазинах приложений Google Play и App Store, созданные Apple. Интересно, что впервые этот тип вредоносного ПО на основе OCR крадет криптовалюту с использованием устройств Apple.
На Android он распространяется через SDK под названием Spark, который написан на Java, маскируясь под аналитический модуль и внедряясь в приложения. Когда пользователь запускает зараженное приложение, вредоносное ПО извлечет зашифрованный файл конфигурации из удаленного репозитория GitLab.
После активации SparkCat использует функциональность OCR Google ML Kit для сканирования изображений в галерее устройства. Он ищет ключевые слова, связанные с фразами восстановления кошелька криптовалюты на нескольких языках, включая английский, китайский, японский, корейский и несколько европейских языков, сообщает KasperSky
Вредоносное ПО отправляет изображения на сервер, управляемый злоумышленником, для вывода украденных данных. Методы передачи включают использование облачного хранилища Amazon вместе с протоколом на основе Rust. Это делает его действительно сложным для отслеживания, потому что он включает шифрованные коммуникационные каналы и техники передачи данных, которые необычны.
Компрометация iOS через вредоносный фреймворк
Вариант iOS SparkCat работает по-другому, поскольку встраивается в скомпрометированные приложения в качестве фреймворка под различными именами, такими как GZIP, googleappsdk или stat. Этот вредоносный фреймворк, написанный на Objective-C, обфусцирован с использованием HikariLLVM и интегрирует Google ML Kit для анализа изображений галереи устройства.
В отличие от версии для Android в iOS вредоносное ПО запрашивает доступ к галерее фотографий только при выполнении определенных действий пользователями, таких как открытие чата поддержки в зараженном приложении. Это снижает подозрения, позволяя вредоносному ПО извлекать информацию, связанную с кошельком.
Согласно отчету от Kaspersky, помимо фраз восстановления, вредоносное ПО способно краже других конфиденциальных данных. Это включает сохраненные пароли и содержимое сообщений, захваченных в скриншотах. Эксперты по безопасности оценивают, что SparkCat уже скомпрометировал более 242 000 устройств, в основном в Европе и Азии.
Однако происхождение вредоносного ПО неизвестно. Исходя из комментариев к коду и сообщений об ошибках, можно определить, что разработчики говорят на китайском языке. Атаки вредоносного ПО на пользователей криптовалюты продолжают нарастать, поскольку киберпреступники постоянно находят способы обхода мер безопасности, введенных магазинами приложений.
В сентябре 2024 года Binance обнаружила вредоносное ПО Clipper, которое заменяло скопированные адреса кошельков на контролируемые злоумышленниками. Это заставляло жертв невольно отправлять средства на мошеннические адреса. Как мы уже обсуждали, в прошлом году в 2024 году инвесторы потеряли более 3 миллиардов долларов в криптовалютных мошеннических схемах и хакерских атаках.
Отказ от ответственности: Информация на этой странице может поступать от третьих лиц и не отражает взгляды или мнения Gate. Содержание, представленное на этой странице, предназначено исключительно для справки и не является финансовой, инвестиционной или юридической консультацией. Gate не гарантирует точность или полноту информации и не несет ответственности за любые убытки, возникшие от использования этой информации. Инвестиции в виртуальные активы несут высокие риски и подвержены значительной ценовой волатильности. Вы можете потерять весь инвестированный капитал. Пожалуйста, полностью понимайте соответствующие риски и принимайте разумные решения, исходя из собственного финансового положения и толерантности к риску. Для получения подробностей, пожалуйста, обратитесь к
Отказу от ответственности.
