SparkCat: скрытая атака на криптовалютные кошельки

Зловредная кампания под названием SparkCat была обнаружена исследователями Kaspersky Дмитрием Калининым и Сергеем Пузаном. Основной замысел угрозы заключается в краже мнемонических фраз, которые используются для восстановления криптовалютных кошельков, путём анализа изображений через механизм оптического распознавания символов.
SparkCat: скрытая атака на криптовалютные кошельки
Изображение носит иллюстративный характер

Вредоносный код ищет в галереях устройств картинки с зафиксированными секретными словами и, если находит нужные ключевые фразы, пересылает снимки на удалённый командно-контрольный сервер. Малварь распространяется в официальных магазинах приложений для iOS и Android, где под видом сервисов с функциями искусственного интеллекта, доставки еды или Web3 прячется вредоносная надстройка. Среди таких приложений в Google Play оказалось свыше 242 000 загрузок до момента обнаружения. Кампания активна с марта 2024 года, однако остаётся неясным, был ли это результат цепной атаки или целенаправленный выпуск со стороны разработчиков.

Во многих случаях внутри приложений внедрён SDK под названием "Spark". Он маскируется под модуль аналитики и состоит из Java-компонента, ответственного за интеграцию вредоносных функций. На первый взгляд все требуется лишь для обычных разрешений, поэтому подозрения часто не возникает.

Одним из ключевых механизмов SparkCat является OCR, реализованный через библиотеку Google ML Kit. На Android вредонос расшифровывает и запускает плагин, чтобы обрабатывать изображения и сопоставлять обнаруженный текст с требуемыми ключевыми словами, заданными через сервер. Аналогичная технология задействована и в iOS-версии, где библиотека Google ML Kit выполняет аналогичные функции.

Дополнительной особенностью SparkCat является использование языка Rust в коммуникациях с командным сервером, что является редким приёмом для мобильного вредоносного ПО. При этом региональные цели преимущественно сосредоточены в Европе и Азии, а создатели вредоноса, судя по косвенным признакам, владеют китайским языком. Как отмечают специалисты Kaspersky, «нет никаких признаков скрытого вредоносного модуля внутри приложения», а разрешения кажутся привычными для пользователя.

Отдельно была выявлена похожая кампания, о которой сообщила команда Zimperium zLabs. Злоумышленники под именем FatBoyPanel рассылали поддельные APK-файлы через WhatsApp, выдавая их за банковские и государственные приложения, и собрали свыше 1 000 фальшивых программ. Для кражи SMS и одноразовых паролей использовалось около 1 000 прописанных в коде номеров, а общий объём украденных данных достиг 2,5 ГБ. В число примерно 50 000 пострадавших вошли пользователи из ряда индийских регионов, включая Западную Бенгалию, Бихар, Джаркханд, Карнатаку и Мадхья-Прадеш.

Десктопные системы также остаются под ударом, что подтверждает всплеск активности информационных похитителей Poseidon, Atomic и Cthulhu. Специалисты Palo Alto Networks Unit 42 в своём свежем отчёте описывают случаи, когда на macOS вирусы внедряются через AppleScript, побуждая пользователя к выполнению сомнительных действий под видом системных уведомлений. Такой многосторонний подход демонстрирует, насколько активно злоумышленники расширяют спектр атак на мобильные и настольные платформы.


Новое на сайте

20276Как один npm-пакет для защиты кода сам стал источником заражения? 20275Может ли обычное письмо взломать вашу почту в Zimbra? 20274Зачем сразу несколько разведок взломали портал полиции Белуджистана? 20273Кошельки, которые «родились слабыми»: как уязвимость Ill Bloom стоила криптовладельцам... 20272Как мошенники используют фальшивую регистрацию passkey, чтобы захватить чужой Microsoft... 20271Как безобидный установщик 7-Zip превращает компьютер в чужой прокси-сервер? 20270Термометр, а не трофей: зачем всем вдруг понадобились базы уязвимостей 20269Почему кнопка «разрешить» в AI-редакторах кода может обмануть даже опытного разработчика? 20268Как китайская группировка Silver Fox превратила инструмент против цензуры в оружие для... 20266Почему физик из Лондона получил один из самых престижных призов в науке за измерение... 20265Сколько времени нужно хакеру, чтобы взломать вашу сеть — и успеете ли вы это заметить? 20264Как ИИ-агент, который должен ловить вирусы, сам стал вирусом 20263Переговорщик по выкупам работал на тех самых хакеров, от которых должен был защищать... 20262Дыра в Defender: как гонка процессов открывала путь к правам SYSTEM, а заплатка принесла...
Ссылка