Kaspersky -Forscher haben identifiziert Eine Malware -Kampagne mit dem Namen SparkCat, die seit März 2024 sowohl auf Android- als auch auf iOS -Plattformen böswillige Anwendungen verteilt. Diese Malware verwendet optische Charaktererkennung (OCR), um Fotobibliotheken für Kryptowährungs -Wallet -Wiederherstellungsphrasen zu scannen.
„Das Kaspersky-Forschungsexpertise Center hat seit mindestens März 2024 einen neuen Data-Stealing-Trojaner, SparkCat, aktiv in AppStore und Google Play entdeckt. Dies ist die erste bekannte Instanz der in AppStore erscheinenden Malware für optische Anerkennung. SparkCat verwendet maschinelles Lernen, um Bildgalerien zu scannen und Screenshots zu stehlen, die Kryptowährungs -Brieftaschen -Wiederherstellungsphrasen enthalten. Es kann auch andere sensible Daten in Bildern wie Passwörtern finden und extrahieren. “
-Kaspersky
Kaspersky identifiziert Sparkcat Malware, die Krypto -Brieftaschen auf iOS und Android abzielen
Der Untersuchungdurchgeführt von Dmitry Kalinin und Sergey Puzan, stellten fest, dass einige der betroffenen Apps wie Lebensmittelversorgungsdienste legitim scheinen, aber andere Benutzer zu täuschen scheinen. Am 6. Februar bestätigte Kaspersky, dass betroffene Anträge aus dem App Store entfernt wurden. Apple meldete die Löschung von 11 Apps, die Code mit zusätzlichen 89 Apps ausgetauscht haben, die zuvor aufgrund von Sicherheitsbedenken abgelehnt oder entfernt wurden.
Die Malware wurde hauptsächlich in einer iOS -App namens Comecome gefunden, die auch bei Google Play erscheint. Laut Kaspersky soll diese App den Zugriff auf die Kryptowährung der Benutzer ergreifen, indem Screenshots erfasst werden, die Wiederherstellungsphrasen enthalten, die auch als Saatgutphrasen bezeichnet werden. Die Malware arbeitet mit einem böswilligen Softwareentwicklungskit (SDK), das ein OCR -Plugin entschlüsselt, das das Scannen von Screenshots für mobile Geräte erleichtert.
Kaspersky betonte, dass infizierte Google Play -Anwendungen über 242.000 Mal heruntergeladen wurden. Dieser Vorfall markiert die erste Entdeckung einer App, die mit OCR Spyware in Apples App Store infiziert ist und den Begriff der Unfehlbarkeit der Plattform gegen Malware -Bedrohungen in Frage stellt.
Flexible-Ferret-Malware-Ziele MAC-Benutzer durch Bekanntheit von XProtect-Maßnahmen
Die Malware richtet sich nicht nur um Krypto -Brieftaschenwiederherstellungsphrasen, sondern ist auch flexibel genug, um andere vertrauliche Informationen aus der Galerie zu extrahieren, z. B. Nachrichten oder Kennwörter, die in Screenshots erfasst werden. Die Forscher betonten, dass die Anfragen der Malware nach Berechtigungen gutartig oder notwendig erscheinen könnten, sodass sie der Erkennung entgehen können.
Die SparkCat Malware -Kampagne wird auf Android- und iOS -Benutzer hauptsächlich in Europa und Asien abzielt. Kaspersky stellte fest, dass die genaue Infektionsmethode noch untersucht wird, da sie nicht bestätigen kann, ob SparkCat durch einen Lieferkettenangriff oder böswillige Entwickleraktionen eingeführt wurde.
In verwandten Ergebnissen umfasst Spark ein verschleierte Modul, das als Spark identifiziert wurde und hauptsächlich in Java geschrieben wurde und über ein rostbasiertes Protokoll mit einem Remote-Befehl und -kontroll (C2) -Server kommuniziert. Nach der Verbindung zum C2 -Server verwendet die Malware die TexTrecognizer -Schnittstelle von Google Kit Library von Google, um Text aus den Bildern zu extrahieren.
Eine zusätzliche Analyse ergab, dass die betrügerische Natur der Malware es ermöglicht, die Benutzer irrezuführen, den Zugriff auf ihre Fotobibliotheken zu gewähren, nachdem sie Screenshots von Wiederherstellungsphrasen erfasst haben. Kasperskys detaillierter Bericht stellte fest, dass „die Berechtigungen, die er anfordert, so aussehen könnte, als würden sie für seine Kernfunktionalität benötigt oder auf den ersten Blick harmlos erscheinen.“
Ausgewähltes Bildnachweis: Kerem Gülen/Ideogramm
