هشدار کسپرسکی درباره بدافزار SparkCat که کلیدهای خصوصی را در Android و iOS هدف قرار میدهد
بدافزار تازه کشف شدهای که به برنامههای محبوب موبایل نفوذ کرده تا کلیدهای خصوصی کیف پولهای ارز دیجیتال را سرقت کند، بیش از ۲۰۰ هزار بار دانلود شده است. SparkCat، بدافزاری که کاربران Android و iOS را هدف قرار میدهد، از طریق کیتهای توسعه نرمافزار مخرب که در برنامههای ظاهراً بیخطر تعبیه شدهاند، گسترش مییابد. شرکت امنیت سایبری کسپرسکی در گزارش ۴ فوریه خود هشدار داد که این بدافزار از تشخیص کاراکتر نوری، فناوری که متن را از تصاویر میخواند، استفاده میکند تا گالری عکس قربانی را اسکن کند و به دنبال عبارات بازیابی کیف پول کریپتو که در اسکرینشاتها یا یادداشتهای ذخیره شده پنهان شدهاند، بگردد.
این بدافزار از مارس ۲۰۲۴ فعال بوده و برخی از این برنامههای آلوده، از جمله برنامههای تحویل غذا و پیامرسانی مبتنی بر هوش مصنوعی، در Google Play و App Store در دسترس بودند. این همچنین اولین نمونه شناخته شده از یک سرقتکننده مبتنی بر OCR است که به پلتفرم اپل میرسد.
در اندروید، بدافزار از طریق یک SDK مبتنی بر جاوا به نام Spark تزریق میشود که خود را به عنوان یک ماژول تجزیه و تحلیل پنهان میکند. هنگامی که یک برنامه آلوده راهاندازی میشود، Spark یک فایل پیکربندی رمزگذاری شده را از یک مخزن GitLab از راه دور بازیابی میکند. پس از فعال شدن، SparkCat از ابزار OCR کیت ML گوگل برای اسکن گالری تصاویر دستگاه استفاده میکند. این بدافزار به دنبال کلمات کلیدی خاص مرتبط با عبارات بازیابی کیف پول کریپتو در چندین زبان، از جمله انگلیسی، چینی، کرهای، ژاپنی و چندین زبان اروپایی میگردد. سپس بدافزار تصویر را به سروری که توسط مهاجم کنترل میشود، آپلود میکند، یا از طریق ذخیرهسازی ابری آمازون یا یک پروتکل مبتنی بر Rust، که به دلیل انتقال دادههای رمزگذاری شده و روشهای ارتباطی غیر استاندارد، پیچیدگی بیشتری در ردیابی فعالیت آن اضافه میکند.
در iOS، SparkCat از طریق یک چارچوب مخرب که در برنامههای آلوده تعبیه شده است، عمل میکند و با نامهایی مانند GZIP، googleappsdk یا stat پنهان میشود. این چارچوب که به زبان Objective-C نوشته شده و با HikariLLVM مبهم شده است، با کیت ML گوگل ادغام میشود تا متن را از تصاویر در گالری استخراج کند. برای جلوگیری از ایجاد سوءظن، نسخه iOS فقط زمانی که کاربران اقدامات خاصی مانند باز کردن چت پشتیبانی را انجام میدهند، درخواست دسترسی به گالری را میکند.
این گزارش همچنین هشدار داد که «انعطافپذیری بدافزار» به آن اجازه میدهد تا سایر دادههای حساس مانند «محتوای پیامها یا گذرواژههایی که میتوانند در اسکرینشاتها باقی بمانند» را سرقت کند. کسپرسکی تخمین میزند که این بدافزار بیش از ۲۴۲ هزار دستگاه را در سراسر اروپا و آسیا آلوده کرده است. در حالی که منشاء دقیق آن ناشناخته باقی مانده است، نظرات تعبیه شده در کد و پیامهای خطا نشان میدهد که توسعهدهندگان بدافزار به زبان چینی مسلط هستند.
محققان کسپرسکی از کاربران میخواهند که از ذخیره اطلاعات مهم مانند عبارات سید، کلیدهای خصوصی و گذرواژهها در اسکرینشاتها خودداری کنند. کمپینهای بدافزار پیشرفته همچنان تهدیدی مداوم در فضای کریپتو هستند و این اولین باری نیست که عوامل مخرب موفق به دور زدن اقدامات امنیتی فروشگاههای گوگل و اپل میشوند. در سپتامبر ۲۰۲۴، صرافی ارز دیجیتال بایننس بدافزار «Clipper» را که از طریق برنامهها و افزونههای موبایل غیررسمی دستگاهها را آلوده میکرد و آدرس کیف پول کپی شده قربانی را با آدرسی که توسط مهاجم کنترل میشد جایگزین میکرد تا آنها را فریب دهد تا کریپتو را به مقصد اشتباه منتقل کنند، گزارش کرد. در همین حال، سرقت کلید خصوصی آسیب جدی به صنعت کریپتو وارد کرده و یکی از دلایل اصلی برخی از بزرگترین ضررهای آن بوده است.