App Store-on keresztül is terjedt a legújabb kukkoló malware
Kriptovaluta-lopásra szánt kártevőt fedeztek fel a biztonsági szakértők, melyet Androidon és iOS-en egyaránt terjesztenek a kiberbűnözők.
Kártékony SDK-t tartalmazó alkalmazásokat azonosítottak a Kaspersky biztonsági kutatói a Google Play Store és Apple App Store digitális áruházakban egyaránt, melyeket kriptovaluta-tárcákkal való visszaélések céljából készítettek a csalók. A „SparkCat” kampányt a fertőzött alkalmazások egyik rosszindulatú SDK-komponenséről (Spark) nevezték el a szakértők.
A fertőzött Android-alkalmazások rosszindulatú SDK-ja a „Spark” nevű rosszindulatú Java-komponenst használja, amit elemzőmodulnak álcáztak a készítők. A komponens a GitLabon tárolt titkosított konfigurációs fájlt használja, amely parancsokat és működési frissítéseket biztosít. iOS platformon a keretrendszernek különböző nevei vannak, például „Gzip”, „googleappsdk” vagy „stat”.
Az iOS-re szánt appok egy "im_net_sys" nevű Rust-alapú hálózati modult használnak a vezérlő kiszolgálókkal való kommunikációhoz. A Kaspersky szerint egyébként ez az „első ismert eset”, amikor OCR technológiával visszaélő, rosszindulatú programok kerülnek fel az App Store-ba.
Így blokkold a karriered Golden handcuffs és társai: a 49. adásban összeszedtünk pár dolgot, amit IT szakemberként érdemes elkerülni.
A csalási céllal készített alkalmazások közös jellemzője, hogy optikai karakterfelismerési (OCR) technikát alkalmaznak, egészen pontosan a modul a Google ML Kit OCR segítségével nyeri ki a szöveget az eszközön tárolt képekről, képernyőmentésekről, és megpróbálja kiszűrni azokat a használható kifejezéseket megadott kulcsszavak alapján, amelyek segítségével a támadók a jelszó ismerete nélkül tudnak hozzáférni a kriptovaluta-tárcákhoz.
A komponens a rendszer nyelvétől függően tölt be különböző OCR-modelleket a latin, koreai, kínai és japán karakterek megkülönböztetéséhez. Ezután információkat tölt fel az eszközről a távoli vezérlőszerverre, válaszul egy objektumot kap, amely szabályozza a kártevő későbbi működését.
A Play Áruházban nyilvánosan elérhető letöltési számok azt mutatják, hogy az androidos appboltból 242 ezer alkalommal töltötték le a fertőzött alkalmazásokat. A Kaspersky szerint tizennyolc fertőzött Android- és 10 iOS-alkalmazás létezik, amelyek közül sok még mindig elérhető az appboltokban. Az egyik ilyen problémás szoftver az Android ChatAi, amit több mint 50 000 alkalommal telepítettek, de szerencsére már eltávolították a Google Play kínálatából.