کاسپرسکی نسبت به بدافزار SparkCat که کلیدهای خصوصی را در اندروید و iOS هدف قرار می‌دهد، هشدار داد.

بدافزار newly discovered که به برنامه‌های موبایل محبوب نفوذ کرده و کلیدهای خصوصی کیف پول‌های ارز دیجیتال را سرقت می‌کند، بیش از ۲۰۰,۰۰۰ بار دانلود شده است.

SparkCat، یک بدافزار که کاربران اندروید و iOS را هدف قرار می‌دهد، از طریق کیت‌های توسعه نرم‌افزار مخرب که در برنامه‌های ظاهراً بی‌ضرر جاسازی شده‌اند، پخش می‌شود. شرکت امنیت سایبری Kaspersky در گزارشی در تاریخ ۴ فوریه هشدار داد.

این بدافزار از شناسایی کاراکتر نوری (OCR) استفاده می‌کند، تکنولوژی‌ای که متن را از تصاویر می‌خواند، تا به گالری عکس‌های قربانی سرک کشیده و به دنبال عبارات بازیابی کیف پول‌های کریپتو پنهان شده در اسکرین‌شات‌ها یا یادداشت‌های ذخیره‌شده باشد.

این بدافزار از مارس ۲۰۲۴ فعال بوده و برخی از این برنامه‌های آلوده، از جمله برنامه‌های تحویل غذا و برنامه‌های پیام‌رسان مبتنی بر هوش مصنوعی، در فروشگاه Google Play و App Store در دسترس بودند. همچنین این اولین مورد شناخته‌شده از یک دزد مبتنی بر OCR است که به پلتفرم اپل دست یافته است.

چگونه SparkCat کار می‌کند؟

در اندروید، این بدافزار از طریق یک SDK مبتنی بر جاوا به نام Spark که خود را به عنوان یک ماژول تجزیه و تحلیل معرفی می‌کند، تزریق می‌شود. پس از راه‌اندازی یک برنامه آلوده، Spark یک فایل پیکربندی رمزگذاری شده را از یک مخزن GitLab از راه دور بازیابی می‌کند.

پس از فعال شدن، SparkCat از ابزار OCR در Google ML Kit استفاده می‌کند تا گالری تصویر دستگاه را اسکن کند. این بدافزار به دنبال کلمات کلیدی خاص مرتبط با عبارات بازیابی کیف پول‌های ارز دیجیتال در چندین زبان، از جمله انگلیسی، چینی، کره‌ای، ژاپنی و چندین زبان اروپایی می‌گردد.

سپس این بدافزار تصویر را به یک سرور تحت کنترل مهاجم آپلود می‌کند، یا از طریق ذخیره‌سازی ابری آمازون یا پروتکلی مبتنی بر Rust که لایه‌ای اضافی از پیچیدگی را در ردیابی فعالیت خود اضافه می‌کند، به دلیل انتقال داده‌های رمزگذاری شده و روش‌های ارتباطی غیر استاندارد.

در iOS، SparkCat از طریق یک فریم‌ورک مخرب جاسازی شده در برنامه‌های آلوده عمل می‌کند که تحت نام‌هایی مانند GZIP، googleappsdk یا stat پنهان شده است. این فریم‌ورک که به زبان Objective-C نوشته شده و با HikariLLVM مبهم شده است، با Google ML Kit ادغام می‌شود تا متن را از تصاویر در گالری استخراج کند.

برای جلوگیری از مشکوک شدن، نسخه iOS فقط زمانی دسترسی به گالری را درخواست می‌کند که کاربران اقدام خاصی انجام دهند، مانند باز کردن یک چت پشتیبانی.

گزارش همچنین هشدار داده است که "انعطاف‌پذیری بدافزار" به آن اجازه می‌دهد تا سایر اطلاعات حساس مانند "محتوای پیام‌ها یا رمزهای عبوری که ممکن است در اسکرین‌شات‌ها باقی بمانند" را سرقت کند.

چندین کاربر در خطر

Kaspersky برآورد می‌کند که این بدافزار بیش از ۲۴۲,۰۰۰ دستگاه را در اروپا و آسیا آلوده کرده است. در حالی که منبع دقیق آن ناشناخته باقی مانده است، نظرات جاسازی شده در کد و پیام‌های خطا نشان می‌دهند که توسعه‌دهندگان بدافزار به زبان چینی مسلط هستند.

محققان Kaspersky از کاربران خواسته‌اند تا از ذخیره اطلاعات مهمی مانند عبارات seed، کلیدهای خصوصی و رمزهای عبور در اسکرین‌شات‌ها خودداری کنند.

کمپین‌های پیشرفته بدافزاری همچنان تهدیدی مداوم در فضای کریپتو به شمار می‌روند و این اولین باری نیست که بازیگران بد موفق به دور زدن اقدامات امنیتی گوگل و اپل می‌شوند.

در سپتامبر ۲۰۲۴، صرافی ارز دیجیتال Binance "Clipper malware" را شناسایی کرد که دستگاه‌ها را از طریق برنامه‌ها و افزونه‌های موبایل غیررسمی آلوده کرده و آدرس کیف پول قربانی را با یکی که تحت کنترل مهاجم بوده، جایگزین می‌کرد تا او را فریب دهد که ارز دیجیتال را به مقصد اشتباه منتقل کند.

در همین حال، سرقت کلیدهای خصوصی آسیب جدی به صنعت ارزهای دیجیتال وارد کرده و یکی از دلایل اصلی زیان‌های بزرگ آن به شمار می‌آید.