Σε μια ανησυχητική ανάπτυξη, οι ερευνητές στον κυβερνοχώρο στο Kaspersky έχουν αποκαλύψει μια εκλεπτυσμένη εκστρατεία κακόβουλου λογισμικού που στοχεύει τόσο τις συσκευές iOS όσο και Android. Γνωστή ως SparkCat, αυτό το κακόβουλο λογισμικό αξιοποιεί την τεχνολογία οπτικής αναγνώρισης χαρακτήρων (OCR) για να σαρώσει τις γκαλερί φωτογραφιών των χρηστών και να εξαγάγει ευαίσθητες πληροφορίες πορτοφολιού κρυπτογράφησης, συγκεκριμένα φράσεις ανάκτησης, από στιγμιότυπα οθόνης. Οι κακόβουλες εφαρμογές που φιλοξενούν αυτό το κακόβουλο λογισμικό ανακαλύφθηκαν τόσο στο Google Play όσο και στο App Store της Apple, σηματοδοτώντας την πρώτη γνωστή εμφάνιση μιας τέτοιας επίθεσης στο οικοσύστημα της Apple.
Το κακόβουλο λογισμικό Sparkcat εντοπίστηκε για πρώτη φορά στα τέλη του 2024, αλλά η προέλευσή του ανιχνεύει πίσω στην πορεία του ίδιου έτους. Λειτουργεί ζητώντας πρόσβαση στις γκαλερί φωτογραφιών των χρηστών όταν αλληλεπιδρούν με τις λειτουργίες υποστήριξης στις μολυσμένες εφαρμογές. Μετά τη λήψη της άδειας, το κακόβουλο λογισμικό χρησιμοποιεί τεχνολογία OCR - συγκεκριμένα, τη βιβλιοθήκη ML Kit της Google - για να σαρώσει εικόνες για αναγνωρίσιμες λέξεις -κλειδιά, όπως φράσεις ανάκτησης που σχετίζονται με πορτοφόλια κρυπτογράφησης. Εάν το κακόβουλο λογισμικό ανιχνεύσει μια εικόνα που περιέχει μια φράση ανάκτησης, το στέλνει πίσω σε έναν διακομιστή εντολών και ελέγχου όπου οι επιτιθέμενοι μπορούν να χρησιμοποιήσουν τις εξαγόμενες πληροφορίες για να θέσουν σε κίνδυνο το πορτοφόλι κρυπτογράφησης του θύματος.
Διαβάστε περισσότερα:Η Apple τραβά τις εφαρμογές που έχουν μολυνθεί από κακόβουλο λογισμικό που θα μπορούσαν να κλέψουν τα ιδιωτικά σας δεδομένα
Η έρευνα του KasperskyαποκαλύπτειΌτι το κακόβουλο λογισμικό ήταν ενσωματωμένο σε τουλάχιστον 18 εφαρμογές Android και 10 εφαρμογές iOS, μερικές από τις οποίες έχουν κατεβάσει εκατοντάδες χιλιάδες φορές. Για παράδειγμα, οι εφαρμογές όπως η ComeCome, μια υπηρεσία παράδοσης τροφίμων, βρέθηκαν να φιλοξενούν το κακόβουλο λογισμικό και στις δύο πλατφόρμες. Το Wetink και το AnyGpt, δύο εφαρμογές συνομιλίας με βάση το AI, μολύνθηκαν επίσης. Παρόλο που η Google έχει λάβει δράση για να καταργήσει τις περισσότερες από τις εφαρμογές Android από το κατάστημά της, μερικές είναι ακόμα διαθέσιμες, συνεχίζοντας να δημιουργούν κίνδυνο. Η κατάσταση με τις εφαρμογές iOS είναι παρόμοια, με την Kaspersky να αναφέρει ότι μερικοί παραμένουν στο App Store.
Η αληθινή προέλευση του Sparkcat εξακολουθεί να είναι ασαφής. Ο Kaspersky δεν έχει επιβεβαιώσει εάν το κακόβουλο λογισμικό εισήχθη σκόπιμα από τους προγραμματιστές ή αν ήταν το αποτέλεσμα μιας επίθεσης αλυσίδας εφοδιασμού. Ωστόσο, η χρήση ενός πρωτοκόλλου επικοινωνίας με βάση τη σκουριά για την αλληλεπίδραση με διακομιστές εντολών και ελέγχου είναι αξιοσημείωτη. Αυτή η τεχνική, η οποία δεν παρατηρείται συνήθως στις εφαρμογές για κινητά, θα μπορούσε να παράσχει περαιτέρω πληροφορίες για την πολυπλοκότητα των επιτιθέμενων πίσω από την εκστρατεία. Συγκεκριμένα, το κακόβουλο λογισμικό φαίνεται να στοχεύει κυρίως στους χρήστες στην Ευρώπη και την Ασία, υποδηλώνοντας ότι ο ηθοποιός απειλής μπορεί να είναι άπταιστα στα κινέζικα.
Αυτό που κάνει το Sparkcat ιδιαίτερα επικίνδυνο είναι η λεπτότητα του. Δεν υπάρχουν προφανή κακόβουλα εμφυτεύματα στις εφαρμογές και τα δικαιώματα που ζητούν το κακόβουλο λογισμικό συχνά φαίνονται αβλαβείς, καθιστώντας δύσκολο για τους χρήστες να αναγνωρίσουν την απειλή. Η χρήση του Malware από το OCR για τη σάρωση των γκαλερί φωτογραφιών των χρηστών, οι οποίες μπορεί να περιέχουν ευαίσθητες εικόνες όπως φράσεις ανάκτησης κρυπτογράφησης, αυξάνει σημαντικά τον κίνδυνο οικονομικής απώλειας. Επιπλέον, το γεγονός ότι το κακόβουλο λογισμικό λειτουργεί κρυφά σημαίνει ότι οι χρήστες ενδέχεται να παραμένουν αγνοώντας την παραβίαση μέχρι να αδειάσουν τα κρυπτογραφικά πορτοφόλια τους.
Αυτό το περιστατικό υπογραμμίζει τη σημασία της σωστής ελέγχου εφαρμογών. Παρόλο που αυτές οι κακόβουλες εφαρμογές ήταν διαθέσιμες σε επίσημα καταστήματα εφαρμογών, κατάφεραν να παρακάμψουν τα μέτρα ασφαλείας και να επηρεάσουν σημαντικό αριθμό χρηστών. Τα ευρήματα του Kaspersky είναι μια έντονη υπενθύμιση ότι οι χρήστες πρέπει να είναι προσεκτικοί κατά τη χορήγηση δικαιωμάτων εφαρμογών, ειδικά όταν ασχολούνται με εφαρμογές που ζητούν πρόσβαση σε προσωπικά αρχεία ή εικόνες. Επιπλέον, οι χρήστες συμβουλεύονται να αποθηκεύουν ευαίσθητες πληροφορίες, όπως φράσεις αποκατάστασης πορτοφολιών κρυπτογράφησης, σε κρυπτογραφημένες διαχειριστές αποθήκευσης σημείων ή κωδικούς πρόσβασης και όχι σε εύκολα προσβάσιμες μορφές όπως στιγμιότυπα οθόνης.
Ενώ τόσο η Apple όσο και η Google δεν έχουν ακόμη παράσχει επίσημες δηλώσεις σχετικά με το κακόβουλο λογισμικό SparkCat, είναι σαφές ότι η επίθεση υπογραμμίζει την αυξανόμενη απειλή που θέτουν οι εξελιγμένες εκστρατείες κακόβουλου λογισμικού. Είναι σημαντικό για τους χρήστες να παραμένουν σε επαγρύπνηση, να αναθεωρούν τακτικά τα δικαιώματα εφαρμογών και να απεγκαταστήσουν τυχόν ενδεχομένως υποβαθμισμένες εφαρμογές για να προστατεύσουν τα προσωπικά τους δεδομένα.