Крипто Попередження про безпеку: шкідливі програми SparkCat сканують ваші фотографії шукаючи ключі Гаманець - Крипто Новини Flash

• Використовуючи Google ML Kit для витягування тексту, SparkCat передає вкрадені дані через зашифровані канали зв’язку, що ускладнює виявлення.
• Унікальні методи атак SparkCat включають фреймворк Objective-C на iOS та SDK, засновану на Java, на Android.

Згідно з доповіддю кібербезпекової компанії Kaspersky від 4 лютого, новий шкідливий програмний код SparkCat став викликом як для користувачів Android, так і для користувачів iOS, що працюють з криптовалютами. Шкідливе ПЗ з’явилося вбудованим у інші додатки, які, здається, є безпечними. Більше того, воно отримує важливі дані користувача з його мобільного пристрою за допомогою складного підходу.

SparkCat використовує оптичне розпізнавання символів для крадіжок

SparkCat сканує зображення, збережені в галереї пристрою, для відновлення фраз криптовалютного гаманця. Він проводить своє сканування за допомогою оптичного розпізнавання символів, технології, що захоплює текст з зображень. Користувачі, які зберегли деякі знімки екрану та нотатки, що стосуються гаманців, є потенційними жертвами компрометації даних.

Цей шкідливий код почав працювати в березні 2024 року і заразив додатки, включаючи штучний інтелект, програми обміну повідомленнями та послуги замовлення їжі в магазині Google Play та магазині додатків від Apple. Цікаво, що це перший раз, коли цей тип шкідливого коду на основі OCR краде криптовалюту за допомогою пристроїв Apple.

На Android він поширюється через SDK, який називається Spark, який базується на Java, видаючись за аналітичний модуль і впроваджується в додатки. Коли користувач запускає інфікований додаток, шкідливе ПЗ витягне зашифрований конфігураційний файл з віддаленого сховища GitLab.

Після активації SparkCat використовує функціональність OCR Google ML Kit для сканування зображень у галереї пристрою. Він шукає ключові слова, пов’язані з фразами відновлення гаманців криптовалют на кількох мовах, зокрема англійській, китайській, японській, корейській та кількох європейських мовах, повідомила KasperSky

Шкідливе програмне забезпечення відправляє зображення на сервер, що контролюється зловмисником, для винесення украдених даних. Методи передачі включають використання хмарного сховища Amazon, разом з протоколом на основі Rust. Це дуже складно відстежити, оскільки воно включає шифровані канали зв’язку та техніки передачі даних, які є неординарними.

Компроміс iOS через зловмисний фреймворк

IOS-варіант SparkCat працює по-іншому, оскільки вбудовується в компрометовані додатки як фреймворк під різними назвами, такими як GZIP, googleappsdk або stat. Цей шкідливий фреймворк, написаний на Objective-C, обфускований за допомогою HikariLLVM та інтегрує Google ML Kit для аналізу зображень галереї пристрою.

У відміну від версії для Android, в iOS шкідливе ПЗ запитує доступ до фотогалереї лише тоді, коли користувачі виконують певні дії, наприклад, відкривають чат підтримки в зараженому додатку. Це мінімізує підозру, дозволяючи шкідливому ПЗ отримати інформацію, пов’язану з гаманцем.

Звіт від Kaspersky стверджує, що окрім фраз відновлення, шкідливе програмне забезпечення може вкрасти інші чутливі дані. Це включає збережені паролі та вміст повідомлень, захоплених у знімках екрану. Експерти з безпеки оцінюють, що SparkCat вже скомпрометував більше ніж 242 000 пристроїв, переважно в Європі та Азії.

Однак, походження вредоносного програмного забезпечення невідомо. За коментарями до коду та повідомленнями про помилки можна визначити, що розробники говорять китайською. Атаки вредоносного програмного забезпечення на користувачів криптовалют продовжують набирати обертів, кіберзлочинці постійно знаходять способи обхіду захисних заходів, введених магазинами додатків.

У вересні 2024 року компанія Binance виявила вірус Clipper, який замінював скопійовані адреси гаманців на адреси, що контролюються зловмисниками. Це призводило до того, що постраждалі ненавмисно надсилали кошти до шахраївських адрес. Як ми обговорювали, минулого року, у 2024 році, інвестори втратили понад 3 мільярди доларів через криптовалютні шахрайства та взломи.