Malware SparkCat: zagrożenie dla portfela kryptowalutowego na urządzeniach mobilnych

Ukryte aplikacje atakują portfele kryptowalut

Zagrożenie znane jako SparkCat Malware zostało znalezione w sklepach z aplikacjami Apple i Google. Ta kampania wykorzystuje fałszywe aplikacje do zbierania poufnych informacji od użytkowników, w szczególności ukierunkowane na frazy mnemoniczne związane z portfelami kryptowalut. Poprzez osadzanie złośliwych komponentów w pozornie legalnych aplikacjach operatorzy SparkCat stworzyli skuteczny sposób kradzieży krytycznych informacji odzyskiwania od niczego niepodejrzewających ofiar.

Kampania opiera się na zaawansowanym systemie optycznego rozpoznawania znaków (OCR) w celu skanowania i wyodrębniania tekstu z obrazów przechowywanych na zainfekowanych urządzeniach. Proces ten pozwala złośliwemu oprogramowaniu identyfikować i przechwytywać frazy odzyskiwania, które są następnie przesyłane do zdalnego serwera kontrolowanego przez atakujących. Konsekwencje tej metody są szczególnie niepokojące, ponieważ umożliwia ona atakującym ominięcie tradycyjnych środków bezpieczeństwa i uzyskanie nieautoryzowanego dostępu do zasobów cyfrowych.

Jak działa oprogramowanie SparkCat Malware

Sercem kampanii SparkCat jest wbudowany zestaw narzędzi programistycznych (SDK), który zawiera komponent Java o nazwie Spark, fałszywie przedstawiający się jako moduł analityczny. Naukowcy wciąż badają, czy ten zestaw SDK został wprowadzony poprzez kompromis w łańcuchu dostaw, czy też programiści celowo uwzględnili go w swoich aplikacjach.

SparkCat został znaleziony w aplikacjach podszywających się pod narzędzia sztucznej inteligencji (AI), usługi dostawy żywności i aplikacje związane z Web3. Podczas gdy niektóre z tych aplikacji zapewniają ograniczoną, legalną funkcjonalność, ostatecznie służą jako naczynie dla prawdziwego celu złośliwego oprogramowania — zbierania fraz odzyskiwania z przechowywanych obrazów. Po aktywacji złośliwego modułu złośliwe oprogramowanie odszyfrowuje i wdraża wtyczkę OCR zbudowaną przy użyciu biblioteki ML Kit firmy Google w celu skanowania galerii obrazów pod kątem określonych słów kluczowych powiązanych z portfelami kryptowalut.

Rozszerzenie poza Androida na iOS

Podczas gdy zagrożenia wykorzystujące technologię OCR były wcześniej wykrywane na Androidzie, SparkCat oznacza jeden z pierwszych przypadków takiej taktyki pojawiającej się w App Store firmy Apple. Wariant złośliwego oprogramowania na iOS stosuje podobną metodologię, wykorzystując bibliotekę ML Kit firmy Google do wyodrębniania danych z obrazów. Ponadto złośliwe oprogramowanie wykorzystuje techniki komunikacji oparte na Rust do funkcji poleceń i kontroli (C2), co jest nietypowym podejściem w przypadku zagrożeń mobilnych.

Raporty sugerują, że SparkCat jest aktywnie wdrażany od marca 2024 r., a dotknięte nim aplikacje są dystrybuowane zarówno za pośrednictwem oficjalnych, jak i zewnętrznych sklepów z aplikacjami. Niektóre aplikacje zawierające ten złośliwy kod zgromadziły ponad 242 000 pobrań przed ich usunięciem, co wskazuje, że znaczna baza użytkowników mogła zostać ujawniona.

Konsekwencje tego ataku

Główne ryzyko związane ze złośliwym oprogramowaniem SparkCat leży w jego zdolności do kradzieży fraz odzyskiwania portfela kryptowalutowego. Frazy te są krytycznym środkiem bezpieczeństwa, umożliwiającym użytkownikom przywrócenie dostępu do ich zasobów cyfrowych w przypadku zgubienia lub naruszenia bezpieczeństwa urządzenia. Jeśli te frazy wpadną w niepowołane ręce, sprawcy zagrożeń mogą przelać środki z dotkniętych portfeli, pozostawiając ofiary z niewielkimi lub żadnymi możliwościami odzyskania.

Oprócz strat finansowych, działalność SparkCat uwypukla również szersze obawy dotyczące bezpieczeństwa aplikacji. Fakt, że to złośliwe oprogramowanie zdołało zinfiltrować zarówno App Store firmy Apple, jak i Google Play, podkreśla potencjalne luki w procesach weryfikacji opublikowanych aplikacji. Użytkownicy, którzy polegają na oficjalnych sklepach z aplikacjami w kwestii zapewnień bezpieczeństwa, nie zawsze mogą być bezpieczni przed wyrafinowanymi zagrożeniami, takimi jak SparkCat.

Kto stoi za SparkCat?

Analiza funkcjonalności malware, wyboru słów kluczowych i regionów dystrybucji sugeruje, że kampania jest skierowana głównie do użytkowników w Europie i Azji. Ponadto badacze wskazali, że osoby odpowiedzialne za SparkCat wykazują biegłość w języku chińskim, co wskazuje na potencjalny region pochodzenia atakujących. Jednak ostateczne przypisanie pozostaje w toku.

Jedną z charakterystycznych cech SparkCat jest jego zdolność do dyskretnego działania. Uprawnienia żądane przez zainfekowane aplikacje wydają się nieszkodliwe i często pokrywają się z ich rzekomymi funkcjonalnościami. To oszukańcze podejście utrudnia użytkownikom rozpoznanie obecności ukrytego zagrożenia w pobieranym oprogramowaniu.

Lekcje z SparkCat i nowych zagrożeń

Pojawienie się SparkCat wzmacnia znaczenie czujności podczas instalowania aplikacji, nawet z oficjalnych źródeł. Eksperci ds. cyberbezpieczeństwa zalecają dokładne sprawdzenie uprawnień aplikacji, zbadanie opinii użytkowników i zweryfikowanie legalności deweloperów przed pobraniem jakiegokolwiek nowego oprogramowania. Ponieważ cyberprzestępcy nadal udoskonalają swoje taktyki, użytkownicy muszą zachować ostrożność i proaktywność w zabezpieczaniu swoich poufnych informacji.

Ostatnie trendy wskazują również na rosnącą liczbę zagrożeń ukierunkowanych na systemy macOS i urządzenia mobilne. Rosnąca popularność kryptowalut i aktywów cyfrowych uczyniła je atrakcyjnym celem dla cyberprzestępców, co dodatkowo podkreśla potrzebę udoskonalonych praktyk bezpieczeństwa. SparkCat jest jaskrawym przypomnieniem, że nawet dobrze prosperujące platformy cyfrowe nie są odporne na pojawiające się zagrożenia.

Reakcja branży i środki ochronne

Po odkryciu SparkCat zarówno Apple, jak i Google podjęły działania w celu usunięcia szkodliwych aplikacji ze swoich sklepów. Od początku lutego 2025 r. aplikacje te nie są już dostępne do pobrania. Google potwierdziło również, że użytkownicy Androida są automatycznie chronieni przed znanymi wersjami tego złośliwego oprogramowania za pośrednictwem funkcji Play Protect.

Chociaż te działania łagodzą niektóre z bezpośrednich zagrożeń, użytkownicy, którzy wcześniej zainstalowali którąkolwiek z zagrożonych aplikacji, powinni podjąć proaktywne kroki w celu zabezpieczenia swoich urządzeń. Sprawdzanie nieautoryzowanego dostępu do portfeli kryptowalut, usuwanie podejrzanych aplikacji i aktualizowanie ustawień zabezpieczeń to zalecane środki w celu zminimalizowania potencjalnych szkód.

Podsumowanie

Kampania malware SparkCat jest przykładem ewoluującego wyrafinowania cyberzagrożeń wymierzonych w użytkowników kryptowalut. Wykorzystując luki w zabezpieczeniach sklepu z aplikacjami i wykorzystując zaawansowane techniki OCR, atakujący wykazali się nowym poziomem pomysłowości w kradzieży cyfrowej. W przyszłości pozostawanie poinformowanym o pojawiających się zagrożeniach i przyjmowanie rygorystycznych praktyk cyberbezpieczeństwa będzie miało zasadnicze znaczenie dla utrzymania bezpieczeństwa cyfrowego.

Do Willa
February 10, 2025
Android Malware, Mac Malware, Złośliwe oprogramowanie, Scam
Polski
February 10, 2025
Android Malware, Mac Malware, Złośliwe oprogramowanie, Scam

Popularne posty

Co to jest plik OperaGXSetup.exe i czy jest złośliwy?

11 months temu

Eporner.com i dlaczego jego nadmierna liczba wyskakujących...

12 days temu

Uwaga: ktoś dodał Cię jako oszustwo związane z e-mailem...

10 months temu

HackTool:Win32/Crack: Złośliwe zagrożenie, które może poważnie...

7 months temu

Potencjalnie poważne zagrożenie: Trojan:Win32/Suschil!rfn

19 days temu

Czym jest zagrożenie związane z koniem trojańskim Packunwan i...

11 months temu
Polski
Ładowanie...

Cyclonis Password Manager Details & Terms

FREE Trial: 30-Day One-Time Offer! No credit card required for Free Trial. Full functionality for the length of the Free Trial. (Full functionality after Free Trial requires subscription purchase.) To learn more about our policies and pricing, see EULA, Privacy Policy, Discount Terms and Purchase Page. If you wish to uninstall the app, please visit the Uninstallation Instructions page.

Dom

Produkty

Cyclonis Password Manager Cyclonis World Time

Wsparcie

Pliki pomocy FAQ Downloads Inquiries & Support

Firma

O nas Contact Us Report Abuse

Legal (Post Merger)

EnigmaSoft Limited (fka Cyclonis Limited)

Cyclonis Password Manager's EULA Cyclonis World Time's Terms of Service Polityka prywatności Polityka Cookie Special Discount Offer Terms Additional Terms & Conditions SpyHunter EULA RegHunter EULA EnigmaSoft Privacy Policy & Cookie Policy ESG Privacy Policy & Cookie Policy EnigmaSoft Discount Offer Terms ESG Discount Offer Terms

© 2017-2025 Cyclonis Ltd. CYCLONIS is a trademark of EnigmaSoft Limited (Cyclonis was merged into EnigmaSoft Limited effective November 25, 2023.) All rights reserved.

Registered Office EnigmaSoft Limited: 1 Castle Street, 3rd Floor, Dublin 2 D02 XD82, Ireland.
EnigmaSoft Limited, Private Company Limited by shares, Company Registration Number 597114.

Windows jest znakiem towarowym firmy Microsoft, zarejestrowanym w Stanach Zjednoczonych i innych krajach.
Mac, iPhone, iPad i App Store są znakami towarowymi firmy Apple Inc., zarejestrowanymi w Stanach Zjednoczonych i innych krajach.
iOS jest zastrzeżonym znakiem towarowym firmy Cisco Systems, Inc. i/lub jej oddziałów w Stanach Zjednoczonych i niektórych innych krajach.
Android i Google Play są znakami towarowymi firmy Google LLC.