Зловредная кампания под названием SparkCat была обнаружена исследователями Kaspersky Дмитрием Калининым и Сергеем Пузаном. Основной замысел угрозы заключается в краже мнемонических фраз, которые используются для восстановления криптовалютных кошельков, путём анализа изображений через механизм оптического распознавания символов.
Вредоносный код ищет в галереях устройств картинки с зафиксированными секретными словами и, если находит нужные ключевые фразы, пересылает снимки на удалённый командно-контрольный сервер. Малварь распространяется в официальных магазинах приложений для iOS и Android, где под видом сервисов с функциями искусственного интеллекта, доставки еды или Web3 прячется вредоносная надстройка. Среди таких приложений в Google Play оказалось свыше 242 000 загрузок до момента обнаружения. Кампания активна с марта 2024 года, однако остаётся неясным, был ли это результат цепной атаки или целенаправленный выпуск со стороны разработчиков.
Во многих случаях внутри приложений внедрён SDK под названием "Spark". Он маскируется под модуль аналитики и состоит из Java-компонента, ответственного за интеграцию вредоносных функций. На первый взгляд все требуется лишь для обычных разрешений, поэтому подозрения часто не возникает.
Одним из ключевых механизмов SparkCat является OCR, реализованный через библиотеку Google ML Kit. На Android вредонос расшифровывает и запускает плагин, чтобы обрабатывать изображения и сопоставлять обнаруженный текст с требуемыми ключевыми словами, заданными через сервер. Аналогичная технология задействована и в iOS-версии, где библиотека Google ML Kit выполняет аналогичные функции.
Дополнительной особенностью SparkCat является использование языка Rust в коммуникациях с командным сервером, что является редким приёмом для мобильного вредоносного ПО. При этом региональные цели преимущественно сосредоточены в Европе и Азии, а создатели вредоноса, судя по косвенным признакам, владеют китайским языком. Как отмечают специалисты Kaspersky, «нет никаких признаков скрытого вредоносного модуля внутри приложения», а разрешения кажутся привычными для пользователя.
Отдельно была выявлена похожая кампания, о которой сообщила команда Zimperium zLabs. Злоумышленники под именем FatBoyPanel рассылали поддельные APK-файлы через WhatsApp, выдавая их за банковские и государственные приложения, и собрали свыше 1 000 фальшивых программ. Для кражи SMS и одноразовых паролей использовалось около 1 000 прописанных в коде номеров, а общий объём украденных данных достиг 2,5 ГБ. В число примерно 50 000 пострадавших вошли пользователи из ряда индийских регионов, включая Западную Бенгалию, Бихар, Джаркханд, Карнатаку и Мадхья-Прадеш.
Десктопные системы также остаются под ударом, что подтверждает всплеск активности информационных похитителей Poseidon, Atomic и Cthulhu. Специалисты Palo Alto Networks Unit 42 в своём свежем отчёте описывают случаи, когда на macOS вирусы внедряются через AppleScript, побуждая пользователя к выполнению сомнительных действий под видом системных уведомлений. Такой многосторонний подход демонстрирует, насколько активно злоумышленники расширяют спектр атак на мобильные и настольные платформы.
Изображение носит иллюстративный характер
Вредоносный код ищет в галереях устройств картинки с зафиксированными секретными словами и, если находит нужные ключевые фразы, пересылает снимки на удалённый командно-контрольный сервер. Малварь распространяется в официальных магазинах приложений для iOS и Android, где под видом сервисов с функциями искусственного интеллекта, доставки еды или Web3 прячется вредоносная надстройка. Среди таких приложений в Google Play оказалось свыше 242 000 загрузок до момента обнаружения. Кампания активна с марта 2024 года, однако остаётся неясным, был ли это результат цепной атаки или целенаправленный выпуск со стороны разработчиков.
Во многих случаях внутри приложений внедрён SDK под названием "Spark". Он маскируется под модуль аналитики и состоит из Java-компонента, ответственного за интеграцию вредоносных функций. На первый взгляд все требуется лишь для обычных разрешений, поэтому подозрения часто не возникает.
Одним из ключевых механизмов SparkCat является OCR, реализованный через библиотеку Google ML Kit. На Android вредонос расшифровывает и запускает плагин, чтобы обрабатывать изображения и сопоставлять обнаруженный текст с требуемыми ключевыми словами, заданными через сервер. Аналогичная технология задействована и в iOS-версии, где библиотека Google ML Kit выполняет аналогичные функции.
Дополнительной особенностью SparkCat является использование языка Rust в коммуникациях с командным сервером, что является редким приёмом для мобильного вредоносного ПО. При этом региональные цели преимущественно сосредоточены в Европе и Азии, а создатели вредоноса, судя по косвенным признакам, владеют китайским языком. Как отмечают специалисты Kaspersky, «нет никаких признаков скрытого вредоносного модуля внутри приложения», а разрешения кажутся привычными для пользователя.
Отдельно была выявлена похожая кампания, о которой сообщила команда Zimperium zLabs. Злоумышленники под именем FatBoyPanel рассылали поддельные APK-файлы через WhatsApp, выдавая их за банковские и государственные приложения, и собрали свыше 1 000 фальшивых программ. Для кражи SMS и одноразовых паролей использовалось около 1 000 прописанных в коде номеров, а общий объём украденных данных достиг 2,5 ГБ. В число примерно 50 000 пострадавших вошли пользователи из ряда индийских регионов, включая Западную Бенгалию, Бихар, Джаркханд, Карнатаку и Мадхья-Прадеш.
Десктопные системы также остаются под ударом, что подтверждает всплеск активности информационных похитителей Poseidon, Atomic и Cthulhu. Специалисты Palo Alto Networks Unit 42 в своём свежем отчёте описывают случаи, когда на macOS вирусы внедряются через AppleScript, побуждая пользователя к выполнению сомнительных действий под видом системных уведомлений. Такой многосторонний подход демонстрирует, насколько активно злоумышленники расширяют спектр атак на мобильные и настольные платформы.
