Эксперты обнаружили шпионское ПО, замаскированное под приложение для заказа еды, которое крадет кошелек с шифрованием помощи запоминания

Эксперты по кибербезопасности Kaspersky нашли скрытое шпионское ПО в магазине приложений Apple: в iOS-приложении для заказа еды под названием ComeCome обнаружили вредоносное шпионское ПО, которое также можно загрузить из Google Play. Цель - похитить мнемоническую фразу кошелька Криптоактивы у пользователей, чтобы украсть Криптоактивы.

Эксперты по анализу от Касперского, Дмитрий Калинин и Сергей Пузан, заявили, что это приложение также передает ключи криптовалюты жуликам. По словам исследователей Касперского, этот приложение для заказа еды встроено злонамеренное SDK-фреймворк, который может в любой неизвестный момент разблокировать оптическую символы (OCR) плагин. Когда OCR-код начинает работать, приложение начинает искать снимки экрана на мобильном устройстве, сканируя фразу-сид Криптовалюта кошелька, шпионское ПО крадет фразу-сид и затем ворует криптовалюту из кошелька пользователя.

Эксперты также отмечают, что поскольку мнемоническая фраза была украдена преступной группировкой, криминальная группа за приложением может контролировать кошелек с Криптоактивами пострадавшего и переводить средства, поэтому мнемоническую фразу лучше всего хранить строго конфиденциально, обеспечивать офлайн доступ, а не просто записывать на экране мобильного устройства.

Apple уже сняла приложение Come Come Delivery, но страшное в том, что ни Google Play, ни App Store от Apple не обнаружили вредоносное ПО, встроенное в приложение. В настоящее время в магазине приложений есть не только одно приложение, похожее на Come Come, которое кажется нормальным и доступным для загрузки пользователями. Эти приложения могут полностью избежать проверки перед публикацией и даже обмануть доверие пользователей Apple Store. Эти, казалось бы, обычные приложения, скрывают зловредное ПО SparkCat, которое крадет чувствительные личные данные, пароли от аккаунтов и мнемоническая фраза кошелька с криптоактивами.

Злонамеренное программное обеспечение SparkCat специализируется на краже паролей и мнемонических фразах

Эксперты назвали вредоносное ПО для кражи мнемонической фразы SparkCat и отметили, что оно достаточно гибкое: оно не только умеет красть мнемоническую фразу, но и может получать другие чувствительные данные из галереи телефона, такие как сообщения или пароли на скриншотах экрана телефона.

Команда Касперского заявила, что целевой аудиторией преступных групп являются пользователи Android и iOS в Европе и Азии. В магазине Google Play было обнаружено множество приложений, загрузки которых превысили 242 000, зараженных SparkCat.

Невозможно определить, является ли SparkCat взломанной или самой командой разработчиков приложения мошенниками. Apple уже сняла ComeCome APP из магазина iOS, Google Play также снял это проблемное приложение. Однако эксперты беспокоятся, что в магазине все еще есть множество видимо нормальных коммерческих приложений, которые могут быть загружены неосведомленными пользователями.

Как работает SparkCat?

SparkCat - это высокообфусцированный модуль вредоносного приложения, называемый Spark. Это шпионское ПО, главным образом, написано на языке Java, и использует неизвестный протокол, реализованный на Rust, для связи с удаленным сервером команд и управления (C2).

После подключения к своему C2-серверу версия Spark для Android загружает и использует обертку интерфейса распознавания текста из библиотеки Google ML Kit, чтобы извлечь символы из изображений. Вредоносное ПО загружает различные модели OCR в зависимости от системного языка, чтобы распознавать латинские, корейские, китайские или японские символы на изображениях. Если есть взаимодействие с приложением (через официальное SDK Easemob Help Desk сторонних разработчиков), приложение запросит доступ к галерее изображений устройства. Если злоумышленник получит доступ, он будет сканировать снимки экрана с помощью OCR, чтобы украсть мнемоническую фразу шифрования кошелька и отправить ее на C2-сервер.

Как защититься от вредоносного шпионского программного обеспечения?

Для защиты мнемонической фразы, используемой для шифрования кошелька, лучше всего записать ее на бумаге с помощью ручки. Многие люди делают скриншот на своем мобильном телефоне для удобства, но эксперты считают этот способ более опасным. Кроме того, помимо того, чтобы не загружать приложения из неизвестных источников, необходимо регулярно проверять права доступа приложений, чтобы убедиться, что функции записи звука, видео и захвата экрана не были включены без вашего ведома. Многие приложения запрашивают эти разрешения при загрузке, поэтому лучше проверять и закрывать доступ, когда приложение не используется. Это простой и эффективный способ повседневной защиты от третьих лиц.

Этот эксперт обнаружил, что шпионское ПО маскируется под приложение для заказа еды и крадет мнемоническую фразу шифрования кошелька. Оригинал статьи: ABMedia.