وقال محللو Kaspersky Sergey Puzan و Dmitry Kalinin في تقرير في 4 فبراير أنه بمجرد أن تصيب البرامج الضارة التي تسمى Sparkcat جهازًا ، فإنها تبحث عن صور باستخدام كلمات رئيسية محددة بلغات مختلفة من خلال سرقة التعرف على الأحرف البصرية (OCR).
وكتب بوزان وكالينين: “يسرق المتسللون عبارات الاسترداد لمحافظ التشفير ، والتي تكفي للسيطرة الكاملة على محفظة الضحية لمزيد من السرقة من الأموال”.
“تجدر الإشارة إلى أن مرونة البرامج الضارة تسمح لها بسرقة العبارات السرية فحسب ، بل أيضًا بيانات شخصية أخرى من المعرض ، مثل محتوى الرسائل أو كلمات المرور التي قد تبقى على لقطات شاشة.”
ترك المستخدم الذي سقط فريسة للبرامج الضارة مراجعة Google على صفحة التطبيقات. مصدر: مختبرات Kaspersky
أوصى محللو Kaspersky بعدم تخزين المعلومات الحساسة في لقطات الشاشة أو معرض صور الهاتف وبدلاً من ذلك استخدم مدير كلمة المرور. قالوا أيضًا لإزالة أي مشتبه به أو تطبيقات مصابة.
قال Puzan و Kalinin ، على تطبيقات Android ، يستخدم البرامج الضارة مكون Java يسمى Spark ، متنكّر كوحدة تحليلات ، وملف تكوين مشفر مخزن على Gitlab ، والذي يوفر الأوامر والتحديثات التشغيلية.
تستخدم وحدة الشبكات المستندة إلى الثقة Google ML Kit OCR لاستخراج النص من الصور على جهاز مصاب ، والبحث عن عبارات الاسترداد التي يمكن استخدامها لتحميل محافظ التشفير على أجهزة المهاجمين دون معرفة كلمة المرور.
تقدر Kaspersky أن البرامج الضارة كانت نشطة منذ مارس 2024 على الأقل ، وقام بتنزيل ما يقدر بنحو 242000 مرة ، ويستهدف مستخدمي Android و IOS بشكل أساسي في أوروبا وآسيا.
يزعمون أن البرامج الضارة في العشرات من التطبيقات ، الواقعية والمزيفة ، عبر متاجر تطبيقات Google و Apple ولكن لديها نفس الميزات عبرها جميعًا ، مثل استخدام لغة الصدأ ، والتي “نادراً ما توجد في تطبيقات الهاتف المحمول” ، قدرة platform ، والتشويش الذي يجعل التحليل والاكتشاف صعبا.
عثرت Kaspersky Labs على تطبيقات مزيفة تحتوي على SparkCat على كل من متجر Google Play Store و Apple App Store. مصدر: مختبرات Kaspersky
قال Puzan و Kalinin إنه من غير الواضح ما إذا كانت التطبيقات المتأثرة “مصابة نتيجة لهجوم سلسلة التوريد أو ما إذا كان المطورون قد قاموا بدمج طروادة فيها”.
“بعض التطبيقات ، مثل خدمات توصيل الأغذية ، تبدو شرعية ، في حين أن التلامس الآخر قد تم تصميمه بوضوح لجذب الضحايا – على سبيل المثال ، لقد رأينا العديد من” تطبيقات المراسلة “المماثلة مع ميزات الذكاء الاصطناعى من نفس المطور” ، أضافوا.
متعلق ب: تصل خسائر التشفير ، خسائر الاحتيال إلى 29 مليون دولار في ديسمبر ، أدنى في عام 2024
وقال Puzan و Kalinin إن أصل البرامج الضارة غير واضح ، ولا يمكن أن يعزى إلى أي مجموعة معروفة ، ولكنه يشبه حملة مارس 2023 التي وجدها باحثو ESET.
ومع ذلك ، فقد وجد الزوج التعليقات وأوصاف الخطأ المكتوبة باللغة الصينية داخل الكود ، مما يمنحهم “سببًا للاعتقاد بأن مطور الوحدة الخبيثة يجيد اللغة الصينية”.
لم تستجب Google و Apple على الفور لطلبات التعليق.
مجلة: يجب عليك “الذهاب وبناء” وكيل الذكاء الاصطناعي الخاص بك: جيسي بولاك ، X Hall of Flame
