Заль, что наборы для разработки программного обеспечения, используемые для создания приложений в Google Play Store, а Apple Store – это сканирование фотографий пользователей, чтобы найти фразы восстановления криптовалют кошелька для истощения средств внутри, говорит фирма кибербезопасности Kaspersky Labs.
Аналитики Kaspersky Sergey Puzan и Dmitry Kalinin заявили в отчете 4 февраля, что после того, как вредоносное ПО названо SparkCat, он заражает устройство, он ищет изображения, использующие конкретные ключевые слова на разных языках с помощью оптического распознавания символов (OCR).
«Злоумышленники крадут фразы восстановления для криптовалютных кошельков, которых достаточно, чтобы получить полный контроль над кошельком жертвы для дальнейшей кражи средств», – написали Пузан и Калинин.
«Следует отметить, что гибкость вредоносного ПО позволяет ему украсть не только секретные фразы, но и другие личные данные из галереи, такие как содержание сообщений или паролей, которые могут оставаться на скриншотах».
Аналитики Касперского рекомендовали не хранить конфиденциальную информацию в скриншотах или в галерее изображений телефона, а вместо этого использовать диспетчер паролей. Они также сказали, чтобы удалить любые подозреваемые или зараженные приложения.
Пузан и Калинин сказали, что в приложениях для Android вредоносное ПО используется компонент Java, называемый Spark, замаскированный под модуль аналитики, и зашифрованный файл конфигурации, хранящийся на Gitlab, который предоставляет команды и эксплуатационные обновления.
Сетевой модуль, основанный на доверии, использует Google ML Kit OCR для извлечения текста из изображений на зараженном устройстве, поиск фраз восстановления, которые можно использовать для загрузки криптовалютных кошельков на устройствах злоумышленников, не зная пароля.
По оценкам Kaspersky, вредоносное ПО является активным, по крайней мере, с марта 2024 года, загружается около 242 000 раз и в основном нацеливается на пользователей Android и iOS в Европе и Азии.
Они утверждают, что вредоносное ПО находится в десятках приложений, как реальных, так и фальшивых, в магазинах приложений Google и Apple, но имеет одинаковые функции для всех, например, использование языка ржавчины, который «редко встречается в мобильных приложениях», Cross-Платформенная способность и запутывание, которое затрудняет анализ и обнаружение.
Пузан и Калинин сказали, что неясно, были ли затронутые приложения «заражены в результате атаки цепочки поставок или разработчики намеренно внедрили в них троян».
«Некоторые приложения, такие как услуги по доставке продуктов питания, кажутся законными, в то время как другие явно созданы для заманивания жертв – например, мы видели несколько подобных« приложений для обмена сообщениями »с функциями ИИ от одного и того же разработчика», – добавили они.
Связанные: криптовалютные взломы, потери мошенничества в декабре достигают 29 млн. Долл. США, самые низкие в 2024 году.
Пузан и Калинин сказали, что происхождение вредоносного ПО неясно, и его нельзя отнести к какой -либо известной группе, но оно похоже на кампанию марта 2023 года, найденную исследователями ESET.
Тем не менее, пара обнаружила комментарии и описания ошибок, написанных на китайском языке в коде, что дает им «причину полагать, что разработчик вредоносного модуля свободно говорит на китайском языке».
Google и Apple не сразу ответили на запросы на комментарий.
