Зараженные приложения уже загружены 242 тысячи раз
Эксперты выявили новый троян, получивший название SparkCat, который предназначен для кражи данных со смартфонов. Вредоносное программное обеспечение было обнаружено в официальных магазинах App Store и Google Play, а также на сторонних площадках. Оно распространяется в составе различных приложений, включая мессенджеры, ИИ-ассистенты, сервисы доставки еды и платформы для работы с криптовалютами. Основная цель атак – кража данных от криптокошельков жертв. По данным компании, в настоящее время активность SparkCat в первую очередь затрагивает пользователей смартфонов на базе Android и iOS в ОАЭ, Европе и Азии. Однако специалисты предупреждают, что эта угроза может распространиться и на другие регионы, включая Россию. Приложения с интегрированным вредоносным кодом были загружены из Google Play более 242 тысяч раз.
После установки на устройство SparkCat запрашивает доступ к фотографиям пользователя. Он анализирует изображения с помощью технологии оптического распознавания символов (OCR), выискивая на них ключевые слова, которые могут использоваться для восстановления доступа к криптокошелькам. Найденные данные затем передаются злоумышленникам, позволяя им получить доступ к цифровым активам жертв. Помимо этого, троян способен похищать другие конфиденциальные сведения, включая тексты сообщений и сохранённые пароли, если они оказались на скриншотах.
В «Лаборатории Касперского» отмечают, что ранее в App Store периодически появлялись мошеннические приложения, однако данный случай стал первым известным примером интеграции вредоносного ПО, способного красть пользовательские данные, в программы, размещённые в официальном магазине. Эксперты пока не располагают точной информацией о том, произошло ли заражение в результате атаки на цепочку поставок или использовался иной метод. Некоторые из инфицированных сервисов, например приложения для доставки еды, выглядят вполне легитимными. Однако среди них есть и откровенно мошеннические продукты, в частности несколько мессенджеров с заявленными ИИ-функциями, созданные одним и тем же разработчиком.
Специалисты подчёркивают, что технологии машинного обучения всё чаще используются для автоматизации различных процессов, и киберпреступники также проявляют к ним активный интерес. В данном случае методы ИИ позволили злоумышленникам избирательно похищать изображения с помощью OCR-модели. Основная опасность SparkCat заключается в том, что он сумел проникнуть в официальные магазины приложений. Запрос разрешения на доступ к галерее выглядит вполне оправданным, так как такие привилегии требуются для работы некоторых сервисов, например при обращении в службу поддержки. Это усложняет выявление угрозы и может вводить в заблуждение как пользователей, так и модераторов магазинов приложений. Этот инцидент ставит под сомнение устоявшиеся представления о безопасности: он показывает, что iOS также подвержена вредоносным атакам, а угрозы для Android остаются актуальными.
«Лаборатория Касперского» уведомила Apple и Google о наличии вредоносных программ в их магазинах, однако SparkCat продолжает распространяться через неофициальные платформы.
Наши выводы в двух словах:
Наши защитные решения детектируют вредоносные программы, связанные с этой кампанией, со следующими вердиктами:
0ff6a5a204c60ae5e2c919ac39898d4f
21bf5e05e53c0904b577b9d00588e0e7
a4a6d233c677deb862d284e1453eeafb
66b819e02776cb0b0f668d8f4f9a71fd
f28f4fd4a72f7aab8430f8bc91e8acba
51cb671292eeea2cb2a9cc35f2913aa3
00ed27c35b2c53d853fafe71e63339ed
7ac98ca66ed2f131049a41f4447702cd
6a49749e64eb735be32544eab5a6452d
10c9dcabf0a7ed8b8404cd6b56012ae4
24db4778e905f12f011d13c7fb6cebde
4ee16c54b6c4299a5dfbc8cf91913ea3
a8cd933b1cb4a6cae3f486303b8ab20a
ee714946a8af117338b08550febcd0a9
0b4ae281936676451407959ec1745d93
f99252b23f42b9b054b7233930532fcd
21bf5e05e53c0904b577b9d00588e0e7
eea5800f12dd841b73e92d15e48b2b71
MD5 iOS-фреймворков
35fce37ae2b84a69ceb7bbd51163ca8a
cd6b80de848893722fa11133cbacd052
6a9c0474cc5e0b8a9b1e3baed5a26893
bbcbf5f3119648466c1300c3c51a1c77
fe175909ac6f3c1cce3bc8161808d8b7
31ebf99e55617a6ca5ab8e77dfd75456
02646d3192e3826dd3a71be43d8d2a9e
1e14de6de709e4bf0e954100f8b4796b
54ac7ae8ace37904dcd61f74a7ff0d42
caf92da1d0ff6f8251991d38a840fb4a
Конфигурации троянца на GitLab
hxxps://gitlab[.]com/group6815923/ai/-/raw/main/rel.json
hxxps://gitlab[.]com/group6815923/kz/-/raw/main/rel.json
C2
api.firebaseo[.]com
api.aliyung[.]com
api.aliyung[.]org
uploads.99ai[.]world
socket.99ai[.]world
api.googleapps[.]top
Хранилище для фотографий
hxxps://dmbucket102.s3.ap-northeast-1.amazonaws[.]com
Имена пакетов зараженных Android-приложений из Google Play
com.crownplay.vanity.address
com.atvnewsonline.app
com.bintiger.mall.android
com.websea.exchange
org.safew.messenger
org.safew.messenger.store
com.tonghui.paybank
com.bs.feifubao
com.sapp.chatai
com.sapp.starcoin
BundleID, зашифрованные в теле iOS-фреймворков
im.pop.app.iOS.Messenger
com.hkatv.ios
com.atvnewsonline.app
io.zorixchange
com.yykc.vpnjsq
com.llyy.au
com.star.har91vnlive
com.jhgj.jinhulalaab
com.qingwa.qingwa888lalaaa
com.blockchain.uttool
com.wukongwaimai.client
com.unicornsoft.unicornhttpsforios
staffs.mil.CoinPark
com.lc.btdj
com.baijia.waimai
com.ctc.jirepaidui
com.ai.gbet
app.nicegram
com.blockchain.ogiut
com.blockchain.98ut
com.dream.towncn
com.mjb.Hardwood.Test
com.galaxy666888.ios
njiujiu.vpntest
com.qqt.jykj
com.ai.sport
com.feidu.pay
app.ikun277.test
com.usdtone.usdtoneApp2
com.cgapp2.wallet0
com.bbydqb
com.yz.Byteswap.native
jiujiu.vpntest
com.wetink.chat
com.websea.exchange
com.customize.authenticator
im.token.app
com.mjb.WorldMiner.new
com.kh-super.ios.superapp
com.thedgptai.event
com.yz.Eternal.new
xyz.starohm.chat
com.crownplay.luckyaddress1
Эксперты выявили новый троян, получивший название SparkCat, который предназначен для кражи данных со смартфонов. Вредоносное программное обеспечение было обнаружено в официальных магазинах App Store и Google Play, а также на сторонних площадках. Оно распространяется в составе различных приложений, включая мессенджеры, ИИ-ассистенты, сервисы доставки еды и платформы для работы с криптовалютами. Основная цель атак – кража данных от криптокошельков жертв. По данным компании, в настоящее время активность SparkCat в первую очередь затрагивает пользователей смартфонов на базе Android и iOS в ОАЭ, Европе и Азии. Однако специалисты предупреждают, что эта угроза может распространиться и на другие регионы, включая Россию. Приложения с интегрированным вредоносным кодом были загружены из Google Play более 242 тысяч раз.
После установки на устройство SparkCat запрашивает доступ к фотографиям пользователя. Он анализирует изображения с помощью технологии оптического распознавания символов (OCR), выискивая на них ключевые слова, которые могут использоваться для восстановления доступа к криптокошелькам. Найденные данные затем передаются злоумышленникам, позволяя им получить доступ к цифровым активам жертв. Помимо этого, троян способен похищать другие конфиденциальные сведения, включая тексты сообщений и сохранённые пароли, если они оказались на скриншотах.
В «Лаборатории Касперского» отмечают, что ранее в App Store периодически появлялись мошеннические приложения, однако данный случай стал первым известным примером интеграции вредоносного ПО, способного красть пользовательские данные, в программы, размещённые в официальном магазине. Эксперты пока не располагают точной информацией о том, произошло ли заражение в результате атаки на цепочку поставок или использовался иной метод. Некоторые из инфицированных сервисов, например приложения для доставки еды, выглядят вполне легитимными. Однако среди них есть и откровенно мошеннические продукты, в частности несколько мессенджеров с заявленными ИИ-функциями, созданные одним и тем же разработчиком.
Специалисты подчёркивают, что технологии машинного обучения всё чаще используются для автоматизации различных процессов, и киберпреступники также проявляют к ним активный интерес. В данном случае методы ИИ позволили злоумышленникам избирательно похищать изображения с помощью OCR-модели. Основная опасность SparkCat заключается в том, что он сумел проникнуть в официальные магазины приложений. Запрос разрешения на доступ к галерее выглядит вполне оправданным, так как такие привилегии требуются для работы некоторых сервисов, например при обращении в службу поддержки. Это усложняет выявление угрозы и может вводить в заблуждение как пользователей, так и модераторов магазинов приложений. Этот инцидент ставит под сомнение устоявшиеся представления о безопасности: он показывает, что iOS также подвержена вредоносным атакам, а угрозы для Android остаются актуальными.
«Лаборатория Касперского» уведомила Apple и Google о наличии вредоносных программ в их магазинах, однако SparkCat продолжает распространяться через неофициальные платформы.
Наши выводы в двух словах:
- Мы обнаружили приложения для Android и iOS, в которые был встроен вредоносный SDK/фреймворк для кражи фраз для восстановления доступа к криптокошелькам, некоторые из них были доступны в Google Play и App Store. Из Google Play зараженные приложения скачали более 242 000 раз. Это первый известный случай попадания стилера в App Store.
- Вредоносный модуль для Android расшифровывал и запускал OCR-плагин на основе библиотеки Google ML Kit, с помощью которого распознавал текст на картинках в галерее устройства. По ключевым словам, получаемым с С2, троянец отправлял картинки на командный сервер. Вредоносный модуль для iOS был устроен схожим образом и также использовал библиотеку Google ML Kit для OCR.
- Зловред, который мы назвали SparkCat, использовал для взаимодействия с С2 неопознанный протокол, реализованный на редком для мобильных приложений языке Rust.
- Согласно временным меткам в файлах зловреда и датам создания файлов конфигураций в репозиториях на GitLab, SparkCat был активен с марта 2024 года.
Заключение
К сожалению, несмотря на строгую модерацию на официальных площадках, а также на известность схемы по краже криптокошельков при помощи OCR, зараженные приложения все равно оказались в Google Play и App Store. Особенно опасен троянец тем, что ничто не выдает вредоносный имплант внутри приложения: запрашиваемые им разрешения могут использоваться в основной функциональности приложения или показаться на первый взгляд неопасными, а работает зловред достаточно скрытно. Этот случай в очередной раз разрушает миф о том, что угрозы, которые несут вредоносные приложения для Android, неактуальны для iOS. Чтобы не стать жертвой зловреда, мы рекомендуем сделать следующее:- Если у вас установлено одно из зараженных приложений, удалите его с устройства и не пользуйтесь им до выхода исправления, в котором вредоносная функциональность будет устранена.
- Не храните в галерее скриншоты с чувствительной информацией, в том числе фразы для восстановления доступа к криптовалютным кошелькам. Пароли, конфиденциальные документы и другие чувствительные данные можно хранить в специальных приложениях.
- Используйте надежное защитное решение на всех своих устройствах.
Наши защитные решения детектируют вредоносные программы, связанные с этой кампанией, со следующими вердиктами:
- HEUR:Trojan.IphoneOS.SparkCat.*
- HEUR:Trojan.AndroidOS.SparkCat.*
Индикаторы компрометации
Зараженные Android-приложения0ff6a5a204c60ae5e2c919ac39898d4f
21bf5e05e53c0904b577b9d00588e0e7
a4a6d233c677deb862d284e1453eeafb
66b819e02776cb0b0f668d8f4f9a71fd
f28f4fd4a72f7aab8430f8bc91e8acba
51cb671292eeea2cb2a9cc35f2913aa3
00ed27c35b2c53d853fafe71e63339ed
7ac98ca66ed2f131049a41f4447702cd
6a49749e64eb735be32544eab5a6452d
10c9dcabf0a7ed8b8404cd6b56012ae4
24db4778e905f12f011d13c7fb6cebde
4ee16c54b6c4299a5dfbc8cf91913ea3
a8cd933b1cb4a6cae3f486303b8ab20a
ee714946a8af117338b08550febcd0a9
0b4ae281936676451407959ec1745d93
f99252b23f42b9b054b7233930532fcd
21bf5e05e53c0904b577b9d00588e0e7
eea5800f12dd841b73e92d15e48b2b71
MD5 iOS-фреймворков
35fce37ae2b84a69ceb7bbd51163ca8a
cd6b80de848893722fa11133cbacd052
6a9c0474cc5e0b8a9b1e3baed5a26893
bbcbf5f3119648466c1300c3c51a1c77
fe175909ac6f3c1cce3bc8161808d8b7
31ebf99e55617a6ca5ab8e77dfd75456
02646d3192e3826dd3a71be43d8d2a9e
1e14de6de709e4bf0e954100f8b4796b
54ac7ae8ace37904dcd61f74a7ff0d42
caf92da1d0ff6f8251991d38a840fb4a
Конфигурации троянца на GitLab
hxxps://gitlab[.]com/group6815923/ai/-/raw/main/rel.json
hxxps://gitlab[.]com/group6815923/kz/-/raw/main/rel.json
C2
api.firebaseo[.]com
api.aliyung[.]com
api.aliyung[.]org
uploads.99ai[.]world
socket.99ai[.]world
api.googleapps[.]top
Хранилище для фотографий
hxxps://dmbucket102.s3.ap-northeast-1.amazonaws[.]com
Имена пакетов зараженных Android-приложений из Google Play
com.crownplay.vanity.address
com.atvnewsonline.app
com.bintiger.mall.android
com.websea.exchange
org.safew.messenger
org.safew.messenger.store
com.tonghui.paybank
com.bs.feifubao
com.sapp.chatai
com.sapp.starcoin
BundleID, зашифрованные в теле iOS-фреймворков
im.pop.app.iOS.Messenger
com.hkatv.ios
com.atvnewsonline.app
io.zorixchange
com.yykc.vpnjsq
com.llyy.au
com.star.har91vnlive
com.jhgj.jinhulalaab
com.qingwa.qingwa888lalaaa
com.blockchain.uttool
com.wukongwaimai.client
com.unicornsoft.unicornhttpsforios
staffs.mil.CoinPark
com.lc.btdj
com.baijia.waimai
com.ctc.jirepaidui
com.ai.gbet
app.nicegram
com.blockchain.ogiut
com.blockchain.98ut
com.dream.towncn
com.mjb.Hardwood.Test
com.galaxy666888.ios
njiujiu.vpntest
com.qqt.jykj
com.ai.sport
com.feidu.pay
app.ikun277.test
com.usdtone.usdtoneApp2
com.cgapp2.wallet0
com.bbydqb
com.yz.Byteswap.native
jiujiu.vpntest
com.wetink.chat
com.websea.exchange
com.customize.authenticator
im.token.app
com.mjb.WorldMiner.new
com.kh-super.ios.superapp
com.thedgptai.event
com.yz.Eternal.new
xyz.starohm.chat
com.crownplay.luckyaddress1