Um malware recém -descoberto que penetrou no popular aplicativo móvel e rouba a carteira privada de criptomoeda foi baixada mais de 200.000 vezes.
O Sparkcat, um malware direcionado aos usuários do Android e dos usuários do iOS, se espalhou por um kit de desenvolvimento de software aparentemente inofensivo do tipo aplicativo, e Caspersky alertou em um relatório em 4 de fevereiro.
Estamos digitalizando a galeria de fotos da vítima, usando o reconhecimento óptico de caracteres que lê texto de imagens e está procurando uma frase de recuperação escondida em capturas de tela ou notas armazenadas.
O malware está ativo desde março de 2024, e alguns desses aplicativos infectados estão disponíveis no Google Play e na App Store, incluindo um aplicativo de entrega de alimentos e mensagens equipadas com AI. É também a primeira instância conhecida de Steller baseado em OCR que chega à plataforma Apple.
Como o Sparkcat funciona?
No Android, o malware é injetado através de um SDK baseado em Java chamado Spark. Quando o aplicativo infectado é iniciado, o Spark recebe um arquivo de configuração criptografado de um repositório GitLab remoto.
Quando se trata de ativo, o Sparkcat usa ferramentas do Google ML Kit OCR para digitalizar a galeria de imagens do dispositivo. Procure palavras -chave específicas associadas a vários idiomas, incluindo idiomas em inglês, chinês, coreano, japonês e europeu.
Em seguida, o malware carrega imagens para o servidor de controle do atacante via armazenamento em nuvem da Amazon ou protocolo baseado em ferrugem. Isso adiciona camadas extras com complexidade ao rastrear atividades por transferência de dados criptografada e métodos de comunicação não padrão.
No iOS, o Sparkcat opera através de uma estrutura maliciosa incorporada em um aplicativo infectado que é disfarçado de GZIP, GoogleAppsdk e Stat. Essa estrutura, descrita no Objective-C e Strangers em Hikarillvm, é integrada ao kit do Google ML e extrai o texto da imagem da galeria.
Para evitar suspeitas, a versão iOS requer acesso à galeria apenas ao executar uma ação específica, como abrir um bate -papo de suporte.
O relatório alertou que “flexibilidade de malware” poderia roubar outros dados confidenciais, como “mensagens e conteúdo de senha que podem permanecer nas capturas de tela”.
Vários usuários que estão em perigo
A Kaspersky estima que o malware está infectado com mais de 242.000 dispositivos na Europa e na Ásia. A origem precisa permanece desconhecida, mas comentários e mensagens de erro incorporados nas mensagens de código e erro sugerem que os desenvolvedores de malware são fluentes em chinês.
Os pesquisadores da Kaspersky incentivarão os usuários a não salvar informações importantes, como seedphrase, chave privada e capturas de tela.
A sofisticada campanha de malware continua sendo uma ameaça consistente no espaço da cifra, e não é a primeira vez que um ator ruim desvia as medidas de segurança do Google e da Apple Store.
Em setembro de 2024, as bandeiras da Blipper Exchange Binança “Malware de Clipper”. Foi infectado com o dispositivo por meio de um aplicativo móvel e plug -in não oficial, e o invasor controla o endereço da carteira copiado da vítima e transferiu a cifra para o destino errado.
Enquanto isso, a roubada privada causou sérios danos à indústria criptográfica. Essa é uma das principais razões por trás das maiores perdas.
