Virus extrem de periculos, descoperit pe IPhone și Android. La ce este folosit SparkCat de infractorii cibernetici

Aplicațiile malițioase vizează detectarea frazelor de recuperare pentru portofelele de criptomonede. Foto/Profimedia
Aplicațiile malițioase vizează detectarea frazelor de recuperare pentru portofelele de criptomonede. Foto/Profimedia

Aplicațiile distribuite prin magazinele Apple și Google conțin codul malițios SparkCat pentru citirea capturilor de ecran, care este folosit pentru furtul de criptomonede.

Aplicațiile malițioase vizează detectarea frazelor de recuperare pentru portofelele de criptomonede, permițând atacatorilor să obțină acces la Bitcoin și alte tipuri de criptomonede.

Aceste aplicații includ un modul malițios care utilizează un plugin OCR bazat pe biblioteca Google ML Kit pentru a recunoaște textul din imaginile stocate în memoria dispozitivului. Dacă aplicația detectează o captura de ecran care conține date despre portofelele de criptomonede, o trimite către un server accesibil atacatorilor.

Anterior, un malware similar a fost detectat pe dispozitive Android și PC-uri, dar acum s-a răspândit și pe iOS. Aplicațiile malițioase, inclusiv ComeCome, WeTink și AnyGPT, rămân disponibile pe App Store. Nu este clar dacă infecția rezultă din acțiuni deliberate ale dezvoltatorilor sau este legată de un atac al lanțului de aprovizionare.

La instalare, aplicațiile infectate solicită permisiunea de a accesa fotografiile utilizatorului. Dacă li se acordă, modulul OCR analizează imaginile pentru a găsi text relevant. Până în prezent, aceste aplicații vizează utilizatorii din Europa și Asia.

Deși obiectivul inițial al atacatorilor este de a fură date privind criptomonedele, malware-ul poate fi utilizat și pentru a extrage alte informații confidențiale din capturile de ecran, inclusiv parolele.

Aplicații malițioase similare au fost găsite și în Google Play Store, însă proprietarii de dispozitive iOS consideră în mod tradițional că platforma lor este mai protejată de astfel de amenințări.

Apple verifică toate aplicațiile înainte de a le lansa pe App Store, însă apariția aplicațiilor rău intenționate indică eșecuri în procesul de analiză a aplicațiilor. În acest caz, aplicațiile nu prezintă un comportament evident de tip troian, iar permisiunile pe care le solicită par justificate pentru funcționalitatea lor principala.

Pentru a reduce riscul unor astfel de atacuri, utilizatorii sunt sfătuiți să evite stocarea în Biblioteca foto a capturilor de ecran care conțin informații confidențiale, cum ar fi frazele de recuperare pentru portofelele de criptomonede.