Исследователи кибербезопасности выявили новую, более сложную версию вредоносного ПО SparkCat, которой удалось проникнуть как в Apple App Store, так и в Google Play Store. Это открытие произошло спустя более года после первой документации данного трояна, нацеленного на мобильные операционные системы. Последняя итерация демонстрирует значительную эволюцию тактик, маскируясь внутри seemingly легитимных приложений, включая корпоративные мессенджеры и сервисы доставки еды. После установки вредоносная программа работает скрытно, а ее основная цель — кража конфиденциальных пользовательских данных, с особым фокусом на экосистему криптовалют.
Ключевая функциональность этого обновленного варианта SparkCat включает в себя сложные возможности захвата экрана и кражи изображений. Он специально разработан для мониторинга галереи устройства и папок со скриншотами на наличие изображений, содержащих фразы восстановления (сид-фразы) криптовалютных кошельков. Эти фразы, обычно состоящие из 12 или 24 слов, являются мастер-ключами к криптокошельку; любой, кто владеет ими, получает полный контроль над связанными цифровыми активами. Экспортируя эти изображения, вредоносное ПО предоставляет злоумышленникам прямой путь к опустошению кошельков жертв. Этот метод использует распространенную, но рискованную практику пользователей — делать скриншоты фраз восстановления для целей резервного копирования.
Вектор заражения в значительной степени полагается на социальную инженерию и злоупотребление официальными магазинами приложений. Злоумышленники загружают троянизированные версии популярных полезных приложений, которые выглядят работоспособными, чтобы избежать немедленных подозрений. Исследователи отмечают, что приложения часто запрашивают избыточные разрешения во время установки, особенно для служб специальных возможностей (Accessibility Services) и доступа к хранилищу, которые затем используются для предоставления вредоносной программе постоянного контроля и возможности незаметно отслеживать и экспортировать данные. Это подчеркивает постоянную проблему безопасности мобильной экосистемы: сложность идеальной проверки каждой отправки приложения, даже на курируемых платформах, таких как App Store и Play Store.
Для пользователей эта угроза подчеркивает важность критических практик безопасности. Эксперты настоятельно советуют никогда не хранить фразы восстановления в цифровом виде — избегая фотографий, облачных резервных копий или приложений для заметок. Единственный безопасный метод — записать фразу на физический, долговечный носитель и хранить его оффлайн. Кроме того, пользователи должны быть чрезвычайно осторожны с разрешениями приложений, scrutinizing, зачем простому приложению нужен обширный доступ, и должны загружать программное обеспечение только из официальных магазинов после проверки репутации разработчика и отзывов пользователей. Для платформ этот инцидент является еще одним призывом к усилению автоматических и ручных процессов проверки для обнаружения такого полиморфного и скрытного вредоносного ПО до того, как оно достигнет публики.
Появление этой усовершенствованной версии SparkCat сигнализирует о целенаправленном и прибыльном сдвиге в кампаниях мобильного вредоносного ПО — переходе от широкого сбора данных к точной краже финансовых активов. По мере роста распространения криптовалют растет и стимул для злоумышленников разрабатывать специализированные инструменты для их кражи. Эта тенденция требует повышенной бдительности как со стороны отдельных пользователей, так и со стороны хранителей платформ распространения приложений для защиты целостности мобильных устройств и финансовых активов, которыми они все чаще управляют.
