کسپرسکی از بدافزار SparkCat که کلیدهای خصوصی در اندروید و iOS را هدف قرار می‌دهد، هشدار داد

یک بدافزار جدید که وارد اپلیکیشن‌های محبوب موبایلی شده برای سرقت کلیدهای خصوصی کیف‌پول‌های کریپتویی شناسایی شده است. این بدافزار تاکنون بیش از 200,000 بار دانلود شده است.

SparkCat، یک بدافزار که کاربران اندروید و iOS را هدف قرار داده، از طریق کیت‌های توسعه نرم‌افزاری مخربی که در اپلیکیشن‌های به ظاهر بی‌ضرر جاسازی شده‌اند، پخش می‌شود. شرکت امنیت سایبری کسپرسکی در گزارشی در 4 فوریه به این موضوع اشاره کرده است.

این بدافزار از فناوری شناسایی کاراکترهای نوری (OCR) استفاده می‌کند. این فناوری متن را از تصاویر می‌خواند و در گالری تصاویر قربانی جست‌وجو می‌کند تا عباراتی که برای بازیابی کیف‌پول کریپتویی به کار می‌روند، در اسکرین‌شات‌ها یا یادداشت‌های ذخیره‌شده را پیدا کند.

این بدافزار از مارس 2024 فعال بوده و برخی از اپلیکیشن‌های آلوده، شامل اپلیکیشن‌های تحویل غذا و پیام‌رسان‌های مبتنی بر هوش مصنوعی، در Google Play و App Store قرار داشته‌اند. این نخستین نمونه از یک بدافزار OCR است که به پلتفرم اپل رسیده است.

SparkCat چگونه عمل می‌کند؟

در اندروید، این بدافزار از طریق یک SDK بر پایه جاوا به نام Spark تزریق می‌شود که خود را به عنوان یک ماژول تحلیل‌گر معرفی می‌کند. وقتی اپلیکیشن آلوده باز می‌شود، Spark یک فایل پیکربندی رمزنگاری‌شده را از مخزن GitLab بارگذاری می‌کند.

پس از فعال‌سازی، SparkCat از ابزار OCR کیت ML گوگل استفاده کرده و گالری تصاویر دستگاه را اسکن می‌کند تا کلمات کلیدی مرتبط با عبارت‌های بازیابی کیف‌پول کریپتویی را در زبان‌های مختلف پیدا کند، ازجمله انگلیسی، چینی، کره‌ای، ژاپنی و اروپایی.

این بدافزار سپس تصویر را به سرورهای تحت کنترل هکرها بارگذاری می‌کند. این انتقال یا از طریق فضای ابری آمازون یا پروتکل مبتنی بر Rust انجام می‌شود که فعالیت آن را به دلیل رمزنگاری داده‌ها و روش‌های ارتباطی غیرمعمول پیچیده‌تر می‌کند.

در iOS نیز SparkCat از طریق یک چارچوب مخرب در اپلیکیشن‌های آلوده فعالیت می‌کند که تحت نام‌هایی مانند GZIP، googleappsdk یا stat پنهان شده است. این چارچوب، که به زبان Objective-C و با ابزار HikariLLVM مبهم شده است، با کیت ML گوگل ادغام شده و متن‌های موجود در گالری را استخراج می‌کند.

برای جلوگیری از ایجاد شُک، نسخه iOS فقط زمانی درخواست دسترسی به گالری می‌کند که کاربران اقدام‌های خاصی مانند باز کردن چت پشتیبانی را انجام دهند.

همچنین در این گزارش هشدار داده شده است که انعطاف‌پذیری این بدافزار آن را قادر می‌سازد تا سایر اطلاعات حساس مانند محتوای پیام‌ها یا رمزهای عبور موجود در اسکرین‌شات‌ها را نیز سرقت کند.

بسیاری از کاربران در خطر

کسپرسکی برآورد می‌کند که این بدافزار بیش از 242,000 دستگاه در اروپا و آسیا را آلوده کرده است. هرچند منبع دقیق آن هنوز مشخص نیست، اما نظرات و پیام‌های خطای جاسازی‌شده در کد نشان می‌دهد که توسعه‌دهندگان این بدافزار به زبان چینی مسلط هستند.

محققان کسپرسکی به کاربران توصیه کرده‌اند که از ذخیره اطلاعات مهم همچون Seed Phrase، کلیدهای خصوصی و رمزهای عبور در اسکرین‌شات‌ها خودداری کنند.

کمپین‌های بدافزار پیشرفته همچنان یک تهدید جدی در فضای کریپتو محسوب می‌شوند و این نخستین بار نیست که افراد سودجو توانسته‌اند از موانع امنیتی گوگل و اپل عبور کنند.

در سپتامبر 2024، صرافی بایننس اعلام کرد بدافزاری به نام Clipper شناسایی شده که از طریق اپلیکیشن‌ها و پلاگین‌های غیررسمی موبایلی به دستگاه‌ها نفوذ و آدرس کیف‌پول کپی‌شده کاربر را با آدرسی که تحت کنترل هکر است، جایگزین می‌کند تا کاربران را به ارسال کریپتو به مقصد اشتباه فریب دهد.

در همین حال، سرقت کلیدهای خصوصی همچنان خسارات جدی به صنعت کریپتو وارد کرده و یکی از دلایل اصلی برخی از بزرگ‌ترین ضررهای این حوزه بوده است.