Το εξειδικευμένο κέντρο της Kaspersky Threat Research ανακάλυψε ένα νέο Trojan, το SparkCat, που χρησιμοποιείται για κλοπή δεδομένων στο AppStore και το Google Play τουλάχιστον από τον Μάρτιο του 2024.
Πρόκειται για το πρώτο γνωστό περιστατικό κακόβουλου λογισμικού στο AppStore που βασίζεται στην οπτική αναγνώριση. Το SparkCat χρησιμοποιεί μηχανική μάθηση για να σκανάρει τη συλλογή εικόνων και να κλέβει στιγμιότυπα οθόνης (screenshots) που περιέχουν φράσεις ανάκτησης πορτοφολιών κρυπτονομισμάτων. Μπορεί επίσης να εντοπίζει και να αντλεί άλλα ευαίσθητα δεδομένα σε μορφή εικόνων, όπως κωδικούς πρόσβασης.
Η Kaspersky έχει αναφέρει τις γνωστές κακόβουλες εφαρμογές στην Google και την Apple.
Πώς εξαπλώνεται το νέο κακόβουλο λογισμικό
Το κακόβουλο λογισμικό εξαπλώνεται τόσο μέσω νόμιμων εφαρμογών που έχουν μολυνθεί, όσο και μέσω «δολωμάτων», όπως messengers, βοηθοί AI, εφαρμογές παράδοσης φαγητού, κρυπτονομίσματα και άλλα. Μερικές από τις εφαρμογές αυτές είναι διαθέσιμες στις επίσημες πλατφόρμες του Google Play και του AppStore. Τα δεδομένα τηλεμετρίας της Kaspersky δείχνουν επίσης ότι οι μολυσμένες εκδόσεις διανέμονται μέσω άλλων ανεπίσημων πηγών. Στο Google Play έχουν πραγματοποιηθεί πάνω από 242.000 λήψεις αυτών των εφαρμογών.
Ποιοι στοχοποιούνται
Το κακόβουλο λογισμικό στοχοποιεί κυρίως χρήστες στα ΗΑΕ και σε χώρες της Ευρώπης και της Ασίας. Οι ειδικοί έφτασαν σε αυτό το συμπέρασμα βάσει πληροφοριών για τις περιοχές λειτουργίας των μολυσμένων εφαρμογών όσο και της τεχνικής ανάλυσης του κακόβουλου λογισμικού. Το SparkCat σκανάρει τις συλλογές εικόνων αναζητώντας λέξεις-κλειδιά σε πολλές γλώσσες, συμπεριλαμβανομένων των Κινεζικών, Ιαπωνικών, Κορεατικών, Αγγλικών, Τσέχικων, Γαλλικών, Ιταλικών, Πολωνικών και Πορτογαλικών. Οι ειδικοί όμως πιστεύουν ότι τα θύματα μπορεί να προέρχονται και από άλλες χώρες.
Πώς λειτουργεί το SparkCat
Μόλις εγκατασταθεί, σε ορισμένες περιπτώσεις το νέο κακόβουλο λογισμικό ζητά πρόσβαση στη γκαλερί φωτογραφιών του smartphone. Στη συνέχεια, αναλύει το κείμενο στις αποθηκευμένες εικόνες χρησιμοποιώντας ένα μέσο οπτικής αναγνώρισης χαρακτήρων (OCR). Αν το κακόβουλο λογισμικό εντοπίσει σχετικά keywords, στέλνει την εικόνα στους επιτιθέμενους. Ο κύριος στόχος των χάκερς είναι να εντοπίσουν φράσεις ανάκτησης για πορτοφόλια κρυπτονομισμάτων. Με αυτήν την πληροφορία, μπορούν να αποκτήσουν πλήρη έλεγχο στο πορτοφόλι του θύματος και να κλέψουν χρήματα. Πέρα από την κλοπή φράσεων ανάκτησης, το κακόβουλο λογισμικό μπορεί να αντλήσει άλλες προσωπικές πληροφορίες από στιγμιότυπα οθόνης, όπως μηνύματα και κωδικούς πρόσβασης.
«Αυτή είναι η πρώτη γνωστή περίπτωση Trojan που βασίζεται σε OCR και κατάφερε να εισχωρήσει στο AppStore», δήλωσε ο Sergey Puzan, αναλυτής κακόβουλου λογισμικού στην Kaspersky. «Όσον αφορά τόσο το AppStore όσο και το Google Play, αυτή τη στιγμή δεν είναι σαφές αν οι εφαρμογές σε αυτά τα καταστήματα μολύνθηκαν μέσω επίθεσης στην αλυσίδα εφοδιασμού ή με άλλους τρόπους. Κάποιες εφαρμογές, όπως οι υπηρεσίες παράδοσης φαγητού, φαίνονται νόμιμες, ενώ άλλες είναι σαφώς σχεδιασμένες ως δολώματα».
«Η εκστρατεία του SparkCat παρουσιάζει κάποια μοναδικά χαρακτηριστικά που την καθιστούν επικίνδυνη. Αρχικά, εξαπλώνεται μέσω επίσημων app stores και λειτουργεί χωρίς προφανή σημάδια μόλυνσης. Το Trojan αυτό είναι δύσκολα εντοπίσιμο τόσο από τους διαχειριστές των καταστημάτων όσο και από τους χρήστες των κινητών. Οι άδειες που ζητά φαίνονται επίσης λογικές, και άρα παραβλέπονται εύκολα. Από την οπτική γωνία του χρήστη, η πρόσβαση στη γκαλερί που προσπαθεί να αποκτήσει το κακόβουλο λογισμικό μπορεί να παρουσιάζεται ως απαραίτητη για να λειτουργήσει σωστά η εφαρμογή. Η άδεια ζητείται συνήθως σε ένα σχετικό πλαίσιο, όταν για παράδειγμα οι χρήστες επικοινωνούν με την υποστήριξη πελατών», πρόσθεσε ο Dmitry Kalinin, αναλυτής κακόβουλου λογισμικού στην Kaspersky.
Αναλύοντας εκδόσεις του κακόβουλου λογισμικού για Android, οι ειδικοί της Kaspersky εντόπισαν σχόλια στον κώδικα γραμμένα στα Κινεζικά. Επιπλέον, η έκδοση για iOS περιείχε τα ονόματα καταλόγων «qiongwu» και «quiwengjing» του προγραμματιστή, κάτι που δείχνει την εξοικείωση των απειλητικών φορέων που κρύβονται πίσω από την εκστρατεία με τα Κινεζικά. Δεν υπάρχουν ωστόσο αρκετά στοιχεία για να αποδοθεί η καμπάνια σε κάποια γνωστή ομάδα κυβερνοεγκληματιών.
Επιθέσεις με τη χρήση ML
Οι κυβερνοεγκληματίες δίνουν όλο και περισσότερη προσοχή σε νευρωνικά δίκτυα στα κακόβουλα εργαλεία τους.
Στην περίπτωση του SparkCat, το Android module αποκρυπτογραφεί και εκτελεί ένα OCR-plugin χρησιμοποιώντας τη βιβλιοθήκη Google ML Kit για την αναγνώριση κειμένου σε αποθηκευμένες εικόνες. Παρόμοια μέθοδος χρησιμοποιήθηκε και στο κακόβουλο module για iOS.
Οι λύσεις της Kaspersky προστατεύουν τους χρήστες Android και iOS από το SparkCat. Ανιχνεύεται ως HEUR:Trojan.IphoneOS.SparkCat και HEUR:Trojan.AndroidOS.SparkCat.
