Το Kaspersky Threat Research, ένα εξειδικευμένο κέντρο ανάλυσης απειλών, αποκάλυψε ένα νέο Trojan, το SparkCat. Αυτό το κακόβουλο λογισμικό στοχεύει στην υποκλοπή δεδομένων από χρήστες AppStore και Google Play, με δράση τουλάχιστον από τον Μάρτιο του 2024. Αξιοσημείωτο είναι πως αποτελεί το πρώτο γνωστό περιστατικό κακόβουλης δραστηριότητας στο οικοσύστημα του AppStore που βασίζεται στην τεχνολογία οπτικής αναγνώρισης.
Το SparkCat αξιοποιεί τεχνικές μηχανικής μάθησης για να “σαρώσει” τη συλλογή εικόνων της συσκευής, αναζητώντας και υποκλέπτοντας στιγμιότυπα οθόνης (screenshots) που περιέχουν φράσεις ανάκτησης κρυπτονομισμάτων. Επιπλέον, έχει τη δυνατότητα να εντοπίζει και να εξάγει και άλλα ευαίσθητα δεδομένα που βρίσκονται σε μορφή εικόνας, όπως κωδικούς πρόσβασης και προσωπικά δεδομένα.
Η Kaspersky έχει ήδη ενημερώσει την Google και την Apple σχετικά τις κακόβουλες εφαρμογές που έχουν εντοπιστεί.
Διαδρομές Εξάπλωσης του SparkCat
Η διάδοση του κακόβουλου λογισμικού πραγματοποιείται μέσω δύο κύριων οδών: τη μόλυνση νόμιμων εφαρμογών και τη χρήση “δολωμάτων”. Στα “δολώματα” περιλαμβάνονται εφαρμογές messaging, βοηθοί τεχνητής νοημοσύνης, εφαρμογές delivery φαγητού, εργαλεία διαχείρισης κρυπτονομισμάτων και άλλα. Ορισμένες από αυτές τις εφαρμογές είναι διαθέσιμες στις επίσημες πλατφόρμες Google Play και AppStore. Σύμφωνα με τα δεδομένα τηλεμετρίας της Kaspersky, μολυσμένες εκδόσεις διανέμονται και μέσω άλλων, μη επίσημων πηγών. Στο Google Play, οι συγκεκριμένες εφαρμογές έχουν ξεπεράσει τις 242.000 λήψεις.
Γεωγραφική Στόχευση
Το κακόβουλο λογισμικό επικεντρώνεται κυρίως σε χρήστες στα Ηνωμένα Αραβικά Εμιράτα (ΗΑΕ), χώρες της Ευρώπης και περιοχές της Ασίας. Αυτό το συμπέρασμα προκύπτει από τις γεωγραφικές πληροφορίες των μολυσμένων εφαρμογών και την τεχνική ανάλυση του κακόβουλου λογισμικού. Το SparkCat σαρώνει τις συλλογές εικόνων, αναζητώντας λέξεις-κλειδιά σε πολλές γλώσσες, όπως Κινεζικά, Ιαπωνικά, Κορεατικά, Αγγλικά, Τσέχικα, Γαλλικά, Ιταλικά, Πολωνικά και Πορτογαλικά. Ωστόσο, οι ερευνητές εκτιμούν ότι ενδέχεται να υπάρχουν θύματα και σε άλλες χώρες.
Λειτουργικότητα του SparkCat
Μετά την εγκατάσταση, το κακόβουλο λογισμικό συχνά ζητά πρόσβαση στη γκαλερί φωτογραφιών του smartphone. Στη συνέχεια, αναλύει το κείμενο στις αποθηκευμένες εικόνες χρησιμοποιώντας τεχνολογία οπτικής αναγνώρισης χαρακτήρων (OCR). Εάν εντοπίσει σχετικά keywords, αποστέλλει την εικόνα στους επιτιθέμενους. Ο κύριος στόχος είναι η αναζήτηση φράσεων ανάκτησης για πορτοφόλια κρυπτονομισμάτων. Με αυτές τις πληροφορίες, οι δράστες αποκτούν πλήρη έλεγχο στο πορτοφόλι του θύματος και μπορούν να κλέψουν τα αποθηκευμένα κρυπτονομίσματα. Επιπλέον της κλοπής φράσεων ανάκτησης, το κακόβουλο λογισμικό μπορεί να εξάγει και άλλες προσωπικές πληροφορίες από στιγμιότυπα οθόνης, συμπεριλαμβανομένων μηνυμάτων και κωδικών πρόσβασης.
Αναλύοντας τις εκδόσεις του κακόβουλου λογισμικού για Android, οι ειδικοί της Kaspersky εντόπισαν σχόλια στον κώδικα που ήταν γραμμένα στα Κινεζικά. Επιπλέον, η έκδοση για iOS περιείχε τα ονόματα καταλόγων “qiongwu” και “quiwengjing” του προγραμματιστή, γεγονός που υποδηλώνει εξοικείωση των φορέων απειλής με την Κινεζική γλώσσα. Παρόλα αυτά, δεν υπάρχουν επαρκή στοιχεία για να συνδεθεί η καμπάνια με κάποια γνωστή ομάδα κυβερνοεγκληματιών.
Εκμετάλλευση της Μηχανικής Μάθησης
Οι κυβερνοεγκληματίες στρέφονται όλο και περισσότερο στα νευρωνικά δίκτυα για τη δημιουργία εξελιγμένων κακόβουλων εργαλείων.
Στην περίπτωση του SparkCat, το Android module αποκρυπτογραφεί και εκτελεί ένα OCR-plugin, αξιοποιώντας τη βιβλιοθήκη Google ML Kit για την αναγνώριση κειμένου στις αποθηκευμένες εικόνες. Μια παρόμοια μέθοδος χρησιμοποιείται και στο κακόβουλο module για iOS.
Οι λύσεις ασφαλείας της Kaspersky προσφέρουν προστασία στους χρήστες Android και iOS έναντι του SparkCat. Ανιχνεύεται ως HEUR:Trojan.IphoneOS.SparkCat.* και HEUR:Trojan.AndroidOS.SparkCat.*. Μια αναλυτική έκθεση για τη συγκεκριμένη καμπάνια κακόβουλου λογισμικού είναι διαθέσιμη στο Securelist.
Για την αποφυγή θυματοποίησης από το SparkCat, η Kaspersky συνιστά τα ακόλουθα μέτρα ασφαλείας:
- Εάν έχετε εγκαταστήσει κάποια από τις μολυσμένες εφαρμογές, αφαιρέστε την άμεσα από τη συσκευή σας και αποφύγετε τη χρήση της μέχρι να κυκλοφορήσει μια ενημερωμένη έκδοση που θα αντιμετωπίζει το κακόβουλο λογισμικό.
- Αποφύγετε την αποθήκευση στιγμιότυπων οθόνης με ευαίσθητες πληροφορίες στη συλλογή φωτογραφιών σας, ειδικά φράσεις ανάκτησης ψηφιακών πορτοφολιών. Κωδικοί πρόσβασης και άλλα ευαίσθητα δεδομένα θα πρέπει να αποθηκεύονται σε εξειδικευμένες εφαρμογές διαχείρισης.
- Η χρήση αξιόπιστου λογισμικού κυβερνοασφάλειας μπορεί να αποτρέψει αποτελεσματικά τις μολύνσεις από κακόβουλο λογισμικό.
