Експерти виявили шпигунське програмне забезпечення, що маскується під додаток для замовлення їжі, щоб викрасти мнемонічні фрази гаманця шифрування

Експерти з Касперського виявили приховане шпигунське програмне забезпечення в магазині Apple, в програмі для замовлення їжі під назвою ComeCome для iOS. Ця програма для замовлення також доступна в Google Play і має за мету викрасти мнемонічну фразу гаманця Криптоактивів у користувачів, для крадіжки Криптоактивів.

Експерти з аналітики Касперського Дмитро Калінін і Сергій Пузан вказали, що додаток також передає ключі до криптовалюти потерпілому шахраям. За словами дослідників Касперського, цей додаток для замовлення їжі вбудований зловмисний SDK-фреймворк, який може в будь-який момент розблокувати оптичне розпізнавання символів (OCR) плагін. Як тільки починає працювати програма OCR, додаток розпочинає пошук знімків екрану на мобільному пристрої, сканує початкову фразу гаманця для криптовалюти (Seed Phrase) і, після вкраденої початкової фрази, шпигунське ПЗ краде криптовалюту з гаманця користувача.

Експерти також зазначають, що через те, що початкову фразу було викрадено злочинною групою, злочинна група, що стоїть за додатком, може контролювати гаманець з Криптоактивами жертви та переказувати кошти. Тому найкраще дотримуватися суворих заходів безпеки щодо зберігання та доступу в офлайні до початкової фрази, а не обмежуватися записом знімком екрану мобільного телефону.

Apple вже видалила з програмного магазину Come Come Delivery APP, але жахливо, що ні Google Play, ні App Store від Apple не помітили зловмисне програмне забезпечення, що міститься в додатку. Наразі в магазинах додатків існує не лише один додаток, схожий на Come Come, який, на вигляд, є нормальним для завантаження користувачами. Ці додатки можуть повністю уникнути перевірки перед виходом на ринок, навіть довірені користувачами магазини Apple можуть бути обмануті, тому що ці, здається, звичайні додатки, приховують злочинні наміри, в які вбудовано зловмисне програмне забезпечення SparkCat, яке краде чутливі особисті дані та мнемонічні фрази для шифрування гаманців.

Шкідливе програмне забезпечення SparkCat спеціалізується на крадіжці паролів та початкових фраз

Експерти назвали зловмисне програмне забезпечення для крадіжки початкової фрази SparkCat і зазначили, що воно досить гнучке і може крадти не тільки початкову фразу, але й інші чутливі дані в галереї телефону, такі як повідомлення або паролі, що містяться на знімках екрану телефону.

Команда Касперського заявила, що цільовими об'єктами злочинних груп є користувачі Android та iOS в Європі та Азії. У Google Play ще багато додатків, в яких встановлено SparkCat, кількість завантажень цих додатків перевищує 242 000.

Не можна підтвердити, чи SparkCat проник у ці додатки через хакерів, чи сама команда розробників додатків є шахраїв. Apple видалила ComeCome APP з iOS Store, Google Play також видалив це проблемне додаток. Але експерти бояться, що ще багато здається нормальними комерційні додатки все ще приховані в магазинах і будуть завантажені користувачами, які не знають про це.

Як працює SparkCat?

SparkCat - це високообманний модуль, що входить до зловмисних додатків під назвою Spark. Цей шпигунський софтвер в основному написаний на Java і використовує Rust для реалізації невпізнаваного протоколу та зв'язку з віддаленим сервером з управління та керування командами (C2).

Після підключення до свого сервера C2 версія Android Spark завантажить та використовує обгортку інтерфейсу визначення тексту з Google ML Kit у бібліотеці з метою витягти символи з екрану, цей шкідливий софт також завантажує різні моделі OCR відповідно до мови системи для розпізнавання латинських літер, корейських, китайських або японських писем. Якщо взаємодіяти з цим додатком (примітка: через легальний SDK Easemob Help Desk від стороннього розробника), додаток запросить доступ до зображень на пристрої, якщо злочинці отримають доступ, вони скористаються скануванням екрану через OCR для крадіжкимнемонічна фраза гаманецьта відправлять її на сервер C2.

Як запобігти зловмисному шпигунському програмному забезпеченню?

Запишіть початкову фразу для шифрування гаманця на папері з олівцем, це найстаріший спосіб захисту початкової фрази. Багато людей для зручності роблять знімок екрану на телефоні, але експерти вважають, що цей спосіб менш безпечний. Окрім того, крім того, що необхідно уникати завантаження додатків з неідентифікованих джерел, слід регулярно перевіряти права доступу до програми, щоб переконатися, що функції запису звуку, відео та знімка екрана не були випадково включені, багато додатків дозволяють користувачам відкрити ці функції при завантаженні, але краще регулярно перевіряти та закривати доступ до програми, щоб сторонні додатки не могли потрапити до вас, це буде більш простим способом захисту в повсякденному житті.

Ця стаття. Експерти виявили шпигунське програмне забезпечення, яке прикидається додатком для замовлення їжі, щоб вкрасти фразу запуску гаманця, що вперше з'явилася на новинах про ланцюжок ABMedia.