SparkCat OCR crypto stealer
A Kaspersky blogja a SparkCat kriptovaluta lopó kártevőt ismerteti, amelyet a Google Play Áruházban és az Apple App Store-ban terjesztettek. A kártevőt a támadók mobilalkalmazásokba ágyazták be, hogy észrevétlenül lopjanak pénzt a felhasználóktól.
A SparkCat különösen a pénzügyi információk és a kriptovaluta tárcák ellopására összpontosít. A kártevő az appok álcázása révén elkerülte az észlelést, és sikeresen elérte a felhasználókat mindkét nagy platformon. Az elemzés szerint a kártékony alkalmazások gyorsan elterjedtek, mielőtt az áruházak eltávolították volna őket.
A támadók kripto pénztárcák visszaállítási kódjait célozták meg, amelyek teljes hozzáférést biztosítanak az áldozatok kripto pénztárcáihoz, így ellopva azok tartalmát. Fontos megjegyezni, hogy a malware nemcsak ezeket a kódokat, hanem más érzékeny adatokat is képes ellopni, például üzeneteket vagy jelszavakat, amelyeket képernyőképekben rögzítettek. A több OCR (optikai karakterfelismerő) eredményfeldolgozási mód csökkenti a modellhibák hatásait, amelyek befolyásolhatnák a hozzáférési kódok képeinek felismerését, ha csak kulcsszó feldolgozást használnának.
A kártékony Rust kód elemzése alapján, amely az iOS frameworkökben található, kiderült, hogy az ügyfél kódja kommunikál a rust szerverrel és az ahhoz kapcsolódó szerveroldali titkosító komponensekkel. Ez arra utal, hogy a támadók szerverei valószínűleg szintén Rust-ot használnak a protokollkezeléshez.
A kutatásunk során kiderült, hogy az Android alkalmazások elemzése alapján a szókezelő kódja kínai nyelvű kommenteket tartalmazott. A hibákra adott válaszokat visszaküldő C2 (parancs- és vezérlő) szerverek szintén kínai nyelvű üzeneteket adtak vissza. Ezen kívül az iOS-specifikus változat elemzése során megtalálták a fejlesztő könyvtárának nevét, amely szintén arra utalt, hogy a kártékony modul készítője valószínűleg folyékonyan beszél kínaiul. Bár ezek a jelek kínai hátteret sugallnak, nincs elegendő adat ahhoz, hogy a kampányt egy ismert kiberbűnöző csoporthoz kössék.
Az Apple eltávolította a rosszindulatú alkalmazásokat az App Store-ból.