„Android“ ir „iOS“ programose „Google Play“ parduotuvėje ir „Apple App Store“ yra kenkėjiškų programinės įrangos kūrimo rinkinys (SDK), skirtas pavogti kriptovaliutų piniginės atkūrimo frazes, naudojant optinių simbolių atpažinimo (OCR) pavogimus.
Kampanija vadinama „Sparkcat“ po vieno iš kenksmingų SDK komponentų pavadinimo („Spark“) užkrėstose programose, o kūrėjai greičiausiai ne sąmoningai dalyvauja operacijoje.
Anot „Kaspersky“, „Google Play“, kur yra viešai prieinami atsisiuntimo numeriai, užkrėstos programos buvo atsisiųstos daugiau nei 242 000 kartų.
„Mes radome„ Android “ir„ iOS “programas, kuriose buvo kenkėjiškos SDK/Framework, įterptos pavogti kriptovaliutų atkūrimo frazes, iš kurių kai kurias buvo galima rasti„ Google Play “ir„ App Store “, – aiškina Kaspersky.
„Užkrėstos programos buvo atsisiųstos daugiau nei 242 000 kartų nuo„ Google Play “. Tai yra pirmasis žinomas atvejis, kai„ App Store “rastas vagysčių.
„Spark SDK“ pavogė jūsų kriptovaliutą
Užkrėstos „Android“ programos kenkėjiški SDK naudoja kenksmingą „Java“ komponentą, vadinamą „Spark“, paslėpta kaip analizės modulis. Jis naudoja užšifruotą konfigūracijos failą, saugomą „GitLab“, kuriame pateikiamos komandos ir operatyviniai atnaujinimai.
„IOS“ platformoje sistemoje yra skirtingų pavadinimų, tokių kaip „GZIP“, „GoogleAppsdk“ arba „Stat“. Be to, jis naudoja „Rust“ pagrįstą tinklo modulį, pavadintą „IM_NET_SYS“, kad galėtų tvarkyti ryšį su komandų ir valdymo (C2) serveriais.
Modulis naudoja „Google ML“ rinkinį OCR, kad išgautų tekstą iš įrenginio vaizdų, bandydamas surasti atkūrimo frazes, kurios gali būti naudojamos įkelti kriptovaliutų pinigines užpuolikų įrenginiuose, nežinant slaptažodžio.
„Tai (kenksmingas komponentas) įkelia skirtingus OCR modelius, atsižvelgiant į sistemos kalbą, skirtą atskirti Lotynų, korėjiečių, kinų ir japonų personažus paveikslėliuose“, – aiškina Kaspersky.
„Tada SDK įkelia informaciją apie įrenginį į komandų serverį išilgai kelio / API / E / D / U ir atsakydamas gauna objektą, kuris reguliuoja vėlesnį kenkėjiškos programos veikimą.”
Šaltinis: Kaspersky
Kenkėjiška programinė įranga ieško vaizdų, kuriuose yra paslapčių, naudodama konkrečius raktinius žodžius skirtingomis kalbomis, kurios keičiasi kiekviename regione (Europa, Azija ir kt.).
„Kaspersky“ sako, kad nors kai kurios programos rodo konkrečius regiono taikymo sritis, negalima atmesti galimybės, kad jie dirbtų už nurodytų geografinių sričių ribų.
Užkrėstos programos
Anot Kaspersky, yra aštuoniolika užkrėstų „Android“ ir 10 „iOS“ programų, kurių daugelis vis dar yra jų atitinkamose programų parduotuvėse.
Viena iš programų, apie kurias pranešta kaip užkrėsta „Kaspersky“, yra „Android ChaTai“ programa, kuri buvo įdiegta daugiau nei 50 000 kartų. Ši programa nebegalima žaisti „Google Play“.
Šaltinis: Kaspersky
Visą paveiktų programų sąrašą galite rasti „Kaspersky“ ataskaitos pabaigoje.
Jei turite bet kurią iš šių programų, įdiegtų jūsų įrenginiuose, jums rekomenduojama nedelsdami pašalinti jas ir naudoti mobilųjį antivirusinį įrankį, kad nuskaitytumėte bet kokius likučius. Taip pat reikėtų atsižvelgti į gamyklos nustatymą.
Apskritai kriptovaliutų piniginės atkūrimo frazių saugojimas ekrano kopijose yra praktika, kurios reikėtų vengti.
Vietoj to, laikykite juos fizinėje neprisijungus laikmenoje, užšifruotuose nuimamuose saugojimo įrenginiuose arba savarankiškai prieglobsčio, neprisijungusio slaptažodžių valdytojų skliaute.
„BleepingComputer“ susisiekė su „Apple“ ir „Google“ su prašymu komentuoti, kad jų atitinkamose programų parduotuvėse yra išvardytos programos, ir mes atnaujinsime šį įrašą su jų atsakymais.