Jauna kiberapdraudējuma veids mērķē uz Android un iOS ierīču lietotājiem. Saskaņā ar Kaspersky ziņojumu ļaunprātīgas programmatūras izstrādes komplekts (SDK) ir konstatēts vairākās lietotnēs, kas pieejamas Google Play un Apple App Store. Šis SDK, kas saucas SparkCat, ir paredzēts, lai zagt kriptovalūtu maku atjaunošanas frāzes, izmantojot optiskās rakstzīmju atpazīšanas (OCR) tehnoloģiju. Kampaņa jau ir ietekmējusi simtiem tūkstošu lietotāju, un tikai Google Play veikalā ir reģistrēti vairāk nekā 242,000 lejupielādes.
Ļaunprātīgais SDK darbojas atšķirīgi Android un iOS ierīcēs. Android tas izmanto Java komponentu, kas saucas Spark, kas darbojas kā analītikas modulis. Šis komponents iegūst šifrētus konfigurācijas failus no GitLab, kas satur komandas un atjauninājumus ļaunprogrammatūrai. iOS šī struktūra tiek dēvēta ar dažādiem nosaukumiem, piemēram, Gzip, googleappsdk vai stat, un izmanto Rust bāzētu tīkla moduli, kas saucas im_net_sys, lai sazinātos ar C2 serveriem.
Šī ļaunprogrammatūras primārā funkcija ir skenēt attēlus lietotāja ierīcē, lai atrastu kriptovalūtu maku atjaunošanas frāzes. Šīs frāzes, kas bieži tiek glabātas kā ekrānuzņēmumi vai fotoattēli, tiek izmantotas, lai atjaunotu piekļuvi kriptovalūtu makiem. Ļaunprogrammatūra izmanto Google ML Kit OCR, lai izvilktu tekstu no attēliem, mērķējot uz konkrētām atslēgvārdiem vairākās valodās, tostarp latīņu, korejiešu, ķīniešu un japāņu. Kad tā identificē atjaunošanas frāzi, nozagtie dati tiek nosūtīti uz uzbrucēju serveriem, ļaujot viņiem piekļūt upura kriptovalūtu līdzekļiem bez paroles.
Kaspersky izmeklēšana atklāja, ka ļaunprogrammatūra ir reģionāli specifiska, ar dažādiem atslēgvārdiem un mērķēšanas stratēģijām tādās teritorijās kā Eiropa un Āzija. Tomēr pētnieki brīdina, ka lietotnes var joprojām darboties ārpus to paredzētajām reģionām, radot risku plašākai auditorijai.
Līdz šim ir identificētas 18 Android lietotnes un 10 iOS lietotnes, kas ir inficētas. Jūs varat atrast skartās lietotnes sarakstu Kaspersky ziņojumā šeit. Viens ievērojams piemērs ir Android lietotne — ChatAi — kuru bija lejupielādējuši vairāk nekā 50,000 reizes pirms noņemšanas no Google Play veikala. Tomēr daudzas citas inficētās lietotnes joprojām ir pieejamas abās platformās, kas joprojām ir satraucoša lieta.
Ja jūs aizdomājaties, ka esat instalējis kādu no ļaunprogrammatūras inficētajām lietotnēm, jums nekavējoties tās jāatinstalē. Saskaņā ar ekspertiem ir ieteicams instalēt cienījamu mobilā antivīrusa rīku, lai skenētu jūsu ierīci par jebkādām paliekošām ļaunprogrammatūras pēdām. Smagos gadījumos var būt nepieciešams veikt rūpnīcas atiestatīšanu, lai nodrošinātu pilnīgu noņemšanu. Pašpārvaldītas, ofline paroles pārvaldītāji ar seifu funkcijām var arī nodrošināt papildu drošības slāni.
