Ssylka

SparkCat: скрытая атака на криптовалютные кошельки

Зловредная кампания под названием SparkCat была обнаружена исследователями Kaspersky Дмитрием Калининым и Сергеем Пузаном. Основной замысел угрозы заключается в краже мнемонических фраз, которые используются для восстановления криптовалютных кошельков, путём анализа изображений через механизм оптического распознавания символов.
SparkCat: скрытая атака на криптовалютные кошельки
Изображение носит иллюстративный характер

Вредоносный код ищет в галереях устройств картинки с зафиксированными секретными словами и, если находит нужные ключевые фразы, пересылает снимки на удалённый командно-контрольный сервер. Малварь распространяется в официальных магазинах приложений для iOS и Android, где под видом сервисов с функциями искусственного интеллекта, доставки еды или Web3 прячется вредоносная надстройка. Среди таких приложений в Google Play оказалось свыше 242 000 загрузок до момента обнаружения. Кампания активна с марта 2024 года, однако остаётся неясным, был ли это результат цепной атаки или целенаправленный выпуск со стороны разработчиков.

Во многих случаях внутри приложений внедрён SDK под названием "Spark". Он маскируется под модуль аналитики и состоит из Java-компонента, ответственного за интеграцию вредоносных функций. На первый взгляд все требуется лишь для обычных разрешений, поэтому подозрения часто не возникает.

Одним из ключевых механизмов SparkCat является OCR, реализованный через библиотеку Google ML Kit. На Android вредонос расшифровывает и запускает плагин, чтобы обрабатывать изображения и сопоставлять обнаруженный текст с требуемыми ключевыми словами, заданными через сервер. Аналогичная технология задействована и в iOS-версии, где библиотека Google ML Kit выполняет аналогичные функции.

Дополнительной особенностью SparkCat является использование языка Rust в коммуникациях с командным сервером, что является редким приёмом для мобильного вредоносного ПО. При этом региональные цели преимущественно сосредоточены в Европе и Азии, а создатели вредоноса, судя по косвенным признакам, владеют китайским языком. Как отмечают специалисты Kaspersky, «нет никаких признаков скрытого вредоносного модуля внутри приложения», а разрешения кажутся привычными для пользователя.

Отдельно была выявлена похожая кампания, о которой сообщила команда Zimperium zLabs. Злоумышленники под именем FatBoyPanel рассылали поддельные APK-файлы через WhatsApp, выдавая их за банковские и государственные приложения, и собрали свыше 1 000 фальшивых программ. Для кражи SMS и одноразовых паролей использовалось около 1 000 прописанных в коде номеров, а общий объём украденных данных достиг 2,5 ГБ. В число примерно 50 000 пострадавших вошли пользователи из ряда индийских регионов, включая Западную Бенгалию, Бихар, Джаркханд, Карнатаку и Мадхья-Прадеш.

Десктопные системы также остаются под ударом, что подтверждает всплеск активности информационных похитителей Poseidon, Atomic и Cthulhu. Специалисты Palo Alto Networks Unit 42 в своём свежем отчёте описывают случаи, когда на macOS вирусы внедряются через AppleScript, побуждая пользователя к выполнению сомнительных действий под видом системных уведомлений. Такой многосторонний подход демонстрирует, насколько активно злоумышленники расширяют спектр атак на мобильные и настольные платформы.


Новое на сайте

15310 15309Кэти перри и женский полёт на ракету Blue Origin вызвали бурю мнений 15308Как искусство помогает помнить о оккупации Гуэрнси? 15307Как лесные пожары в амазонии влияют на таяние антарктического льда? 15306Как пережить вдовство в 24 года: история Тании Помрой и сила TikTok 15305Может ли вселенная вращаться раз в 500 миллиардов лет? 15304Уязвимость в маршрутизаторах ASUS AiCloud: обновления прошивки обязательны 15303Жизнь с нарциссическим расстройством: взгляд изнутри 15302Почему лауреат Bafta прячет свою награду от маленькой дочери? 15301Как новое световое оформление изменит интерьер церкви? 15300Вирусный успех Vicky Ball — почему она не бросает работу преподавателя? 15299Темная галактика у млечного пути: открытие загадочного газового объекта 15298Новый цвет: "оло" и его открытие 15297Как музыкальная безопасность завоевывает молодежь: новый альбом CPSC 15296Влияние соцсетей и инфлюенсеров усиливает женоненавистничество в школах