Kasperski istraživači detaljno su detaljno opisali kampanju zlonamjernog softvera u platformi koja cilja na fraze za oporavak kriptovaluta za kripto valute putem zlonamjernih mobilnih aplikacija.
Prema nedavnom izvješću, kampanja “SparkCAT” koristi zlonamjerni komplet za razvoj softvera (SDK) ugrađen u modificirane aplikacije za razmjenu poruka i druge aplikacije za skeniranje korisničkih galerija slika za osjetljive podatke o oporavku. Ova je tehnika prvi put primijećena u ožujku 2023. godine.
U to su vrijeme istraživači kibernetičke sigurnosti primijetili značajke zlonamjernog softvera unutar aplikacija za razmjenu poruka skenirajući korisničke galerije za fraze za oporavak kriptovaluta – uobičajeno poznate kao Mnemonika – kako bi poslali na udaljene poslužitelje.
Početna kampanja utjecala je samo na korisnike Androida i Windowsa kroz neslužbene izvore aplikacija, rekli su istraživači.
To ne vrijedi za SparkCat, koji je otkriven krajem 2024. godine. Ova nova kampanja koristi SDK okvir integriran u razne aplikacije dostupne na službenim i neslužbenim tržištima aplikacija za Android i iOS uređaje.
U jednom slučaju, pronađena je aplikacija za dostavu hrane pod nazivom “Comecome” na Google Playu koja uključuje zlonamjerni SDK. Zaražene aplikacije kolektivno su instalirane više od 242.000 puta, a sličan je zlonamjerni softver kasnije identificiran u aplikacijama dostupnim u Appleovom App Storeu.
Stephen Ajayi, tehničko vodstvo DAPP -a u tvrtki Crypto Cyber -sigurnosti Hacken, rekao je Dešifrirati Te preventivne mjere koje koriste u trgovinama aplikacija obično iznose automatizirane provjere i rijetko uključuju ručne preglede.
Slava Demchuk, izvršni direktor tvrtke Blockchain Analytics tvrtke Amlbot, nadalje je istaknuo da je problem sastavljen od zamkivanja koda i zlonamjernih ažuriranja koja uvode zlonamjerni softver nakon što je aplikacija već odobrena.
“U slučaju SparkCat, napadači su zamolili ulaznu točku kako bi sakrili svoje postupke od istraživača sigurnosti i provedbe zakona”, rekao je on Dešifrirati. “Ova taktika pomaže im da izbjegnu otkrivanje, držeći svoje metode u tajnosti od konkurencije.”
Zlonamjerni softver koristi Googleovu biblioteku ML kompleta za izvođenje optičkog prepoznavanja znakova (OCR) na slikama pohranjenim na korisničkim uređajima. Kada korisnici pristupe značajci za podršku u aplikaciji, SDK zatraži od njih traži zahtjev za dozvolu za čitanje galerije slike.
Ako se odobri dopuštenje, aplikacija skenira slike za ključne riječi koje sugeriraju mnemonsku prisutnost na više jezika. Odgovarajuće slike se zatim šifriraju i prenose na udaljeni poslužitelj.
Demchuk je napomenuo da je “ovaj napadni vektor prilično neobičan – uglavnom sam vidio slične taktike u prijevari u ATM -u, gdje napadači kradu kodove PIN -a.”
Dodao je da izvlačenje takvog napada zahtijeva dobru razinu tehničke sposobnosti, a ako je postupak postao jednostavniji replicirati, to bi moglo uzrokovati puno više štete.
“Ako iskusni prevaranti počnu prodavati gotove skripte, ova bi se metoda mogla brzo proširiti”, rekao je.
Ajayi se složio, napominjući da je “OCR na skeniranje tako pametan trik”, ali vjeruje da još uvijek postoji prostor za poboljšanje. “Zamislite kombinaciju OCR -a i AI kako biste automatski odabrali osjetljive podatke sa slika ili zaslona.”
Kao savjet korisnicima, Demchuk je dva puta preporučio razmišljanje prije nego što je odobrio dozvole prijavama. Ajayi također sugerira da bi programeri novčanika “trebali pronaći bolje načine rukovanja i prikazivanja osjetljivih podataka poput sjemenki.”
Uredila Stacy Elliott.
Dnevni pregled Bilten
Započnite svaki dan s vrhunskim vijestima, plus originalne značajke, podcast, videozapisi i još mnogo toga.
