SparkCat: Wieloplatformowe złośliwe oprogramowanie rozprzestrzeniające się poprzez sklepy z aplikacjami

Badacze z dziedziny cyberbezpieczeństwa z firmy Kaspersky odkryli nową kampanię malware o nazwie „SparkCat”, która atakuje użytkowników Androida i iOS poprzez oficjalne sklepy z aplikacjami, w tym Google Play i Apple App Store.

Kaspersky mówi, że jest to pierwszy przypadek wykrycia stealera w ekosystemie Apple, co budzi obawy dotyczące luk bezpieczeństwa w aplikacjach mobilnych.

Złośliwe oprogramowanie, wbudowane w szkodliwy zestaw narzędzi do tworzenia oprogramowania (SDK), zostało odkryte w aplikacjach na Androida i iOS, które zdobyły ponad 242 000 pobrań.

SparkCat głównie działa jako kradzież optycznego rozpoznawania znaków (OCR), skanując obrazy w galeriach urządzeń użytkowników, aby wydobyć frazy odzyskiwania portfeli kryptograficznych. Ta technika pozwala atakującym obejść tradycyjne środki bezpieczeństwa i uzyskać nieautoryzowany dostęp do cyfrowych aktywów ofiar.

Śledztwo ESET prześledziło aktywność SparkCat do marca 2024 roku. Malware działa poprzez wykorzystanie wtyczki OCR zbudowanej z biblioteki Google ML Kit do identyfikacji i wyodrębnienia wrażliwych tekstów z obrazów.

Następnie skradzione dane są wysyłane do serwera poleceń i kontroli (C2) za pomocą protokołu komunikacyjnego zaimplementowanego w Rust – języku programowania rzadko używanym w aplikacjach mobilnych, co dodatkowo utrudnia śledzenie jego działań.

Jedną z zainfekowanych aplikacji, usługę dostawy jedzenia o nazwie „ComeCome”, znaleziono na Google Play z ponad 10 000 pobrań. W swojej wersji 2.0.0, aplikacja ta potajemnie zawierała szkodliwe oprogramowanie o nazwie „Spark”.

Po zainstalowaniu, Spark połączył się z repozytorium GitLab, aby pobrać ukryte instrukcje, które następnie zdekodował i odszyfrował. Jeśli ta operacja nie powiodła się, korzystał z ustawień zapasowych już wbudowanych w malware.

Aby ukraść dane, złośliwe oprogramowanie używało silnego szyfrowania przed wysłaniem ich na serwer kontrolowany przez hakera. Wykorzystywało warstwowe metody szyfrowania, w tym AES-256, klucze RSA i kompresję, co utrudniało ekspertom ds. bezpieczeństwa śledzenie lub złamanie skradzionych informacji.

Zainfekowane aplikacje prosiły użytkowników o udzielenie dostępu do ich galerii zdjęć pod pretekstem interakcji z obsługą klienta. Jeśli pozwolenie zostało udzielone, złośliwe oprogramowanie aktywnie szukało słów kluczowych związanych z kryptowalutą w wielu językach, w tym angielskim, chińskim i francuskim, aby zidentyfikować cenne frazy odzyskiwania.

Eksperci ds. bezpieczeństwa ostrzegają użytkowników, aby zachowali ostrożność podczas pobierania aplikacji, nawet z oficjalnych źródeł, oraz regularnie sprawdzali uprawnienia aplikacji, aby zminimalizować potencjalne zagrożenia.

Odkrycie SparkCat podkreśla stałe ryzyko, jakie stanowią zaawansowane kampanie malware w zaufanych cyfrowych marketplacach.