SparkCat: Мультиплатформенный вредоносный программный код, распространяющийся через магазины приложений

Исследователи в области кибербезопасности из компании Kaspersky обнаружили новую кампанию распространения вредоносного ПО, которую они назвали «SparkCat». Эта кампания нацелена на пользователей Android и iOS через официальные магазины приложений, включая Google Play и Apple App Store.

Касперский говорит, что это первый случай обнаружения вредоносной программы, предназначенной для кражи информации, в экосистеме Apple, что вызывает опасения относительно уязвимостей безопасности в мобильных приложениях.

Вредоносное ПО, встроенное в злонамеренный комплект разработки программного обеспечения (SDK), было обнаружено в приложениях Android и iOS, которые набрали более 242 000 загрузок.

SparkCat в основном функционирует как вор-распознаватель оптических символов (OCR), сканируя изображения в галереях устройств пользователей для извлечения фраз восстановления криптовалютных кошельков. Эта техника позволяет злоумышленникам обходить традиционные меры безопасности и получать несанкционированный доступ к цифровым активам жертв.

Расследование ESET отследило активность SparkCat до марта 2024 года. Вредоносное ПО работает с использованием плагина OCR, созданного на основе библиотеки ML Kit от Google, чтобы опознать и извлечь конфиденциальный текст из изображений.

Затем украденные данные отправляются на сервер управления и контроля (C2) с использованием протокола связи, реализованного на Rust — языке программирования, редко используемом в мобильных приложениях, что дополнительно затрудняет обнаружение его операций.

Одно из зараженных приложений, служба доставки еды под названием «ComeCome», была обнаружена в Google Play с более чем 10 000 загрузками. В своей версии 2.0.0, приложение тайно включило в себя вредоносное программное обеспечение под названием «Spark».

После установки Spark подключался к репозиторию GitLab для загрузки скрытых инструкций, которые он декодировал и расшифровывал. Если это не удалось, он использовал резервные настройки, уже встроенные в вредоносное ПО.

Чтобы украсть данные, вредоносное ПО использовало сильное шифрование перед отправкой их на сервер, контролируемый хакером. Оно использовало слоистые методы шифрования, включая AES-256, ключи RSA и сжатие, что затрудняло отслеживание или взлом украденной информации специалистами по безопасности.

Зараженные приложения подталкивали пользователей предоставить доступ к своим фотогалереям под предлогом взаимодействия с клиентской поддержкой. Если разрешение было предоставлено, вредоносное ПО активно искало ключевые слова, связанные с криптовалютой, на нескольких языках, включая английский, китайский и французский, для идентификации ценных фраз восстановления.

Эксперты в области безопасности предупреждают пользователей о необходимости соблюдать осторожность при загрузке приложений, даже из официальных источников, а также регулярно проверять разрешения приложений для снижения потенциальных угроз.

Обнаружение SparkCat подчеркивает постоянные риски, которые представляют сложные кампании по распространению вредоносного ПО в доверенных цифровых магазинах.