اكتشف الخبراء أن برامج التجسس تتنكر كتطبيق طلب لسرقة فن الإستذكار في محفظة التشفير

اكتشف خبراء الأمان في كاسبرسكي برنامج تجسس مخفي في متجر آبل، حيث ظهر برنامج تجسس خبيث في تطبيق ComeCome للطلبات عبر نظام iOS، والذي يمكن أيضًا تنزيله من Google Play، بهدف سرقة العبارة التذكيرية لمحفظة الأصول الرقمية للمستخدمين وبالتالي سرقة الأصول الرقمية.

يقول خبراء تحليل كاسبيرسكي Dmitry Kalinin و Sergey Puzan إن التطبيق سيقوم أيضًا بتحويل مفاتيح العملات الرقمية للضحايا إلى عصابة احتيالية. وفقًا لما قاله باحثو كاسبيرسكي ، تم تضمين إطار SDK الخبيث في تطبيق الطلبات الغذائية هذا ، ويمكن فتحه في أي وقت غير محدد بواسطة مكون إضافي للتعرف على الأحرف الضوئية (OCR). عندما يبدأ برنامج التعرف على الأحرف الضوئية في العمل ، يقوم التطبيق بالبحث عن لقطات الشاشة على الأجهزة المحمولة ومسح العبارة التذكيرية (Seed Phrase) لمحفظة العملات الرقمية ، وبعد سرقة العبارة التذكيرية بواسطة برامج التجسس ، يتم سرقة العملات الرقمية الموجودة في محفظة المستخدم.

يقول الخبراء إنه نتيجة لسرقة العبارة التذكيرية من قبل عصابة إجرامية، يمكن للعصابة الإجرامية وراء التطبيق السيطرة على محفظة العملات الرقمية للضحية ونقل الأموال، وهذا هو السبب في أنه من الأفضل حفظ العبارة التذكيرية بدقة والحفاظ على الوصول دون الاتصال بالإنترنت بدلاً من تسجيل شاشة الهاتف فقط.

Apple قد أزالت بالفعل تطبيق Come Come للتوصيل ، ولكن المخيف هو أن كل من Google Play ومتجر التطبيقات الخاص بشركة آبل لم يلاحظا وجود برامج ضارة في التطبيق حتى الآن. لا يزال هناك أكثر من تطبيق واحد في متجر التطبيقات يبدو أنها عادية مثل Come Come ويمكن للمستخدمين تنزيلها. يمكن لهذه التطبيقات تجنب عمليات المراجعة للنشر تمامًا ، حتى متجر التطبيقات الموثوق به من قبل مستخدمي الإنترنت يمكن أن يخدع في عملية المراجعة. هذه التطبيقات التي تبدو عادية تحمل برامج ضارة SparkCat ، والتي تستهدف سرقة المعلومات الحساسة مثل كلمات المرور والأصول الرقمية.

برنامج ضار SparkCat يستهدف بشكل خاص سرقة كلمات المرور والعبارة التذكيرية

الخبراء يطلقون اسم SparkCat على البرمجيات الخبيثة التي تسرق العبارة التذكيرية، ويشير إلى أنها مرنة بما فيه الكفاية لسرقة العبارة التذكيرية وكذلك البيانات الحساسة الأخرى في معرض الصور في الهاتف مثل الرسائل أو كلمات المرور في لقطات الشاشة.

قال فريق كاسبرسكي إن العصابات الإجرامية تستهدف المستخدمين في أوروبا وآسيا الذين يستخدمون نظام Android و iOS. وقد تم زرع SparkCat في العديد من التطبيقات المتاحة في متجر Google Play، حيث بلغ عدد تنزيلات هذه التطبيقات أكثر من 242,000 مرة.

تحذير: غير قادر على تأكيد ما إذا كانت SparkCat قد تسللت إلى هذه التطبيقات بواسطة قراصنة أم أن فريق تطوير التطبيق نفسه هو عصابة احتيال. تمت إزالة تطبيق ComeCome من متجر iOS ، وتمت إزالة هذا التطبيق المشكوك فيه أيضًا من متجر Google Play. ولكن الخبراء يخشون أن هناك مزيدًا من التطبيقات التجارية العادية المخفية لا تزال في المتجر وستتم تنزيلها من قبل المستخدمين غير المطلعين.

كيف تعمل SparkCat؟

يشير SparkCat إلى وحدة نمطية غامضة للغاية تسمى Spark في تطبيق ضار ، ويتم كتابة برنامج التجسس هذا بشكل أساسي في Java ويستخدم Rust لتنفيذ بروتوكول غير معروف للتواصل مع خادم (C2) القيادة والتحكم عن بعد.

بعد الاتصال بخادمها C2، سيقوم إصدار Android من Spark بتنزيل واستخدام حزمة تعبئة واجهة معترف بها للنص في Google ML Kit من الشاشة، وسيقوم هذا البرنامج الضار بتحميل نماذج OCR مختلفة وفقًا للغة النظام لتحديد النصوص اللاتينية أو الكورية أو الصينية أو اليابانية في الصور. إذا تم التفاعل مع تطبيق الدعم (عبر SDK لمكتب المساعدة الشرعي من الطرف الثالث Easemob)، سيطلب التطبيق الوصول إلى مكتبة الصور على جهاز الهاتف، وإذا حصل القراصنة على إذن الوصول، سيقومون باستخدام OCR لفحص لقطات الشاشة لسرقة العبارة التذكيرية لمحفظة العملات الرقمية وإرسالها إلى خادم C2.

كيفية الوقاية من بلاغة برامج التجسس الخبيثة؟

قم بتسجيل العبارة التذكيرية لمحفظة التشفير على ورقة وقلم، هذه هي الطريقة الأقدم لحماية العبارة التذكيرية. يقوم الكثيرون بتسهيل الأمر عن طريق التقاط صورة شاشة بالهاتف لكن يعتبر الخبراء هذه الطريقة أكثر خطورة. بالإضافة إلى عدم تحميل أي تطبيق من مصادر غير معروفة، يجب عليك أيضًا التحقق بانتظام من أذونات التطبيقات، ومراقبة ما إذا كانت الصلاحيات لتسجيل الصوت والفيديو والتقاط شاشة الهاتف قد تم تفعيلها بشكل غير مفهوم. العديد من التطبيقات تُطلب من المستخدمين تفعيل هذه الصلاحيات أثناء التنزيل، لذا من الأفضل مراقبتها بانتظام وإغلاق الصلاحيات عند عدم استخدام التطبيق، مما يجعل من الأسهل تطبيق إجراءات الوقاية الأساسية في الحياة اليومية.

اكتشف الخبراء أن هذه المقالة تحتوي على برنامج تجسس متنكر كتطبيق طلب الطعام يسرق المحافظ التشفيرية ظهرت لأول مرة في أخبار Chain ABMedia.