Aplicații mobile aparent legitime din Google Play și App Store au fost compromise cu malware-ul SparkCat ce vizează golirea portofelelor de criptomonedă prin procesare OCR a imaginilor pentru a extrage texte cu date sensibile.
Actorul din spatele campaniei SparkCat este motivat financiar și vizează în special utilizatori din Europa și Asia, deși unele aplicații infectate sunt folosite și în țări din Emiratele Arabe Unite și Africa.
Cripto-stealer cu procesare OCR a imaginilor
Campania SparkCat a fost descoperită de Kaspersky la sfârșitul anului trecut. Analiza experților arată că aplicațiile infectate conțineau o un SDK (software development kit) malițios al cărui scop era furtul de fraze de recuperare ale portofelelor crypto.
SparkCat este descris ca un crypto-stealer avansat distribuit prin zeci de aplicații mobile pentru Android și iOS, ce folosește un protocol de comunicare implementat în Rust, un limbaj neobișnuit pentru astfel de aplicații.
Malware-ul este considerat deosebit de periculos pentru că aplicațiile infectate nu oferă nicio indicație cum că ar fi compromise.
De asemenea, permisiunile solicitate la instalare sunt justificate de funcționalitatea sa de bază sau pot apărea inofensive la prima vedere ceea ce permite malware-ului să ruleze destul de neobservat.
Cumulat, aplicațiile de Android infectate cu SparkCat aveau peste 242.000 de descărcări. La această cifră se adaugă descărcările aplicațiilor din App Store precum și ale celor din magazinele neoficiale.
Componenta cheie a acestui malware este un plugin OCR (Optical Character Recognition) construit cu librăria ML Kit de la Google, ce poate recunoaște textul din imaginile din galeria dispozitivului.
În funcție de limba sistemului de operare, modelele OCR folosite pot recunoaște în imagini caractere latine, coreene, chinezești, sau japoneze. Astfel, malware-ul poate căuta anumite cuvinte cheie, pe care apoi le trimite către un server controlat de atacator.
Conform analizei experților de la Kaspersky, SDK-ul malițios solicită permisiuni de acces la galeria foto sub pretextul unor funcționalități legitime de suport tehnic folosind SDK-ul legitim de la Easemob HelpDesk.
Numele malware-ul vine de la o componentă a SDK-ului malițios numită Spark și scrisă în Java care descarcă configurația necesară pentru ca malware-ul să funcționeze.
Analiștii nu au găsit detalii suficiente încât să atribuie campania vreunui actor dar spun că procesorul de cuvinte al malware-ului din aplicațiile pentru Android conținea comentarii în chineză.
Indicii găsite în analiza aplicațiilor iOS infectate, sugerează de asemenea că dezvoltatorul diferitelor module este vorbitor fluent de chineză.
Deși SparkCat vizează frazele de recuperare pentru portofelele crypto, analiștii avertizează că malware-ul „este suficient de flexibil pentru a fura […] și alte date sensibile din galerie, cum ar fi mesaje sau parole care ar fi putut fi capturate în capturi de ecran”.
De obicei, aplicațiile malițioase nu trec de măsurile de securitate implementate pentru protecția utilizatorilor Google Play sau App Store dar infractorii au găsit o metodă pentru a-și atinge scopul prin atacuri de tipul supply chain.
Astfel, ei compromit o componentă folosită de dezvoltatorii de aplicații legitime care sunt deja acceptate în magazinul oficial, iar la următorul update utilizatorii vor obține o versiune compromisă a aplicației.
Experții spun că în cazul SparkCat nu pot confirma dacă infecția este rezultatul unui astfel de atac sau a acțiunii intenționate a dezvoltatorilor aplicațiilor.
„Unele aplicații, cum ar fi cele pentru serviciile de livrare a alimentelor, păreau a fi legitime, în timp ce altele se pare că au fost create special pentru a atrage victimele,” spun specialiștii Kaspersky.
Printre exemplele din a doua categorie, experții menționează aplicații de chat în App Store care aveau o componentă de inteligență artificială, precum AnyGPT și WeTink.
Kaspersky a publicat o listă completă cu aplicațiile infectate (la sfârșitul analizei, în secțiunea cu indicatori), menționând că pe 6 februarie Apple le-a eliminat din App Store. O verificare succintă arată că și Google a făcut același lucru.
Recomandarea experților pentru utilizatori este să evite salvarea în galeria foto a telefonului a imaginilor ce conțin informații sensibile. Pentru parole și documente confidențiale se pot folosi aplicații de tip password manager care pot stoca datele în siguranță.
Pentru cei care au avut instalată o aplicație infectată, sfatul este să o dezinstaleze și să aștepte apariția unei versiuni sigure.
