تحتوي تطبيقات Android و iOS على متجر Google Play ومتجر Apple App Store على مجموعة تطوير برامج ضارة (SDK) مصممة لسرقة عبارات استعادة محفظة Cryptocurrency باستخدام سرقة التعرف على الأحرف البصرية (OCR).
تسمى الحملة “SparkCat” بعد الاسم (“Spark”) من أحد مكونات SDK الخبيثة في التطبيقات المصابة ، من المحتمل ألا يشارك المطورون عن قصد في العملية.
وفقًا لـ Kaspersky ، على Google Play بمفرده ، حيث تتوفر أرقام التنزيل للجمهور ، تم تنزيل التطبيقات المصابة أكثر من 242،000 مرة.
“We found Android and iOS apps that had a malicious SDK/framework embedded to steal crypto wallet recovery phrases, some of which were available on Google Play and the App Store,” يشرح كاسبرسكي.
“The infected apps were downloaded more than 242,000 times from Google Play. This is the first known case of a stealer being found in the App Store.”
شرارة SDK سرقة التشفير الخاص بك
يستخدم SDK الضار على تطبيقات Android المصابة مكون Java الضار يسمى “Spark,” متنكرا كوحدة تحليلات. يستخدم ملف تكوين مشفر مخزن على GitLab ، والذي يوفر الأوامر والتحديثات التشغيلية.
على منصة iOS ، يحتوي الإطار على أسماء مختلفة مثل “Gzip,” “googleappsdk,” أو “stat.” أيضًا ، يستخدم وحدة شبكات قائمة على الصدأ تسمى “im_net_sys” للتعامل مع التواصل مع خوادم الأوامر والتحكم (C2).
تستخدم الوحدة النمطية Google ML Kit OCR لاستخراج النص من الصور على الجهاز ، في محاولة لتحديد عبارات الاسترداد التي يمكن استخدامها لتحميل محافظ العملة المشفرة على أجهزة المهاجمين دون معرفة كلمة المرور.
“It (the malicious component) loads different OCR models depending on the language of the system to distinguish Latin, Korean, Chinese and Japanese characters in pictures,” يشرح كاسبرسكي.
“Then, the SDK uploads information about the device to the command server along the path / api / e / d / u, and in response, receives an object that regulates the subsequent operation of the malware.”
المصدر: Kaspersky
تبحث البرامج الضارة عن الصور التي تحتوي على أسرار باستخدام كلمات رئيسية محددة بلغات مختلفة ، والتي تتغير لكل منطقة (أوروبا ، آسيا ، إلخ).
يقول Kaspersky إنه على الرغم من أن بعض التطبيقات تُظهر الاستهداف الخاص بالمنطقة ، إلا أنه لا يمكن استبعاد إمكانية العمل خارج المناطق الجغرافية المعينة.
التطبيقات المصابة
وفقًا لـ Kaspersky ، هناك ثمانية عشر تطبيقات Android المصابة و 10 تطبيقات iOS ، مع العديد من التطبيقات التي لا تزال متوفرة في متاجر التطبيقات الخاصة بها.
أحد التطبيقات التي تم الإبلاغ عنها على أنها مصابة بـ Kaspersky هي تطبيق Android Chatai ، الذي تم تثبيته على أكثر من 50000 مرة. لم يعد هذا التطبيق متاحًا على Google Play.
المصدر: Kaspersky
يمكن العثور على قائمة كاملة بالتطبيقات المتأثرة في نهاية تقرير Kaspersky.
إذا كان لديك أي من هذه التطبيقات المثبتة على أجهزتك ، يوصى بإلغاء تثبيتها على الفور واستخدام أداة مكافحة الفيروسات المحمولة للمسح الضوئي لأي بقايا. يجب أيضًا النظر في إعادة تعيين المصنع.
بشكل عام ، يعد تخزين عبارات استعادة محفظة العملة المشفرة في لقطات الشاشة ممارسة يجب تجنبها.
بدلاً من ذلك ، قم بتخزينها في الوسائط المادية دون اتصال بالإنترنت ، أو أجهزة التخزين القابلة للإزالة المشفرة ، أو في قبو مديري كلمات المرور المستضافين ذاتيًا.
اتصلت BleepingComputer بالاتصال بـ Apple و Google بطلب للتعليق على وجود التطبيقات المدرجة في متاجر التطبيقات الخاصة بكل منها ، وسنقوم بتحديث هذا المنشور مع ردودهم.