Για πρώτη φορά εντοπίστηκε malware που περιλαμβάνει κώδικα για την ανάγνωση του περιεχομένου των screenshots σε ύποπτες εφαρμογές του App Store, σύμφωνα με αναφορά της Kaspersky.
Με την ονομασία «SparkCat», το κακόβουλο λογισμικό περιλαμβάνει δυνατότητες OCR για την ανίχνευση ευαίσθητων πληροφοριών που έχει λάβει ο χρήστης του iPhone σε screenshot. Οι εφαρμογές που ανακάλυψε η Kaspersky στοχεύουν στον εντοπισμό φράσεων ανάκτησης για crypto wallets, οι οποίες θα επέτρεπαν στους επιτιθέμενους να κλέψουν bitcoin και άλλα κρυπτονομίσματα.
Οι εφαρμογές περιλαμβάνουν μια κακόβουλη ενότητα που χρησιμοποιεί ένα OCR plug-in που δημιουργήθηκε με την ML Kit Library της Google για την αναγνώριση κειμένου που βρίσκεται μέσα σε εικόνες σε ένα iPhone. Όταν εντοπίζεται μια σχετική εικόνα ενός crypto wallet, αποστέλλεται σε έναν server στον οποίο έχει πρόσβαση ο επιτιθέμενος.
Σύμφωνα με την Kaspersky, το SparkCat είναι ενεργό περίπου από τον Μάρτιο του 2024. Παρόμοιο κακόβουλο λογισμικό ανακαλύφθηκε το 2023 και στόχευε συσκευές Android και PC, αλλά τώρα έχει εξαπλωθεί στο iOS. Η Kaspersky εντόπισε αρκετές εφαρμογές του App Store με OCR spyware, συμπεριλαμβανομένων των ComeCome, WeTink και AnyGPT, αλλά δεν είναι σαφές αν η μόλυνση ήταν «σκόπιμη ενέργεια των προγραμματιστών» ή «αποτέλεσμα επίθεσης στην αλυσίδα εφοδιασμού».
Οι μολυσμένες εφαρμογές ζητούν άδεια πρόσβασης στις φωτογραφίες ενός χρήστη μετά τη λήψη τους και, αν τους δοθεί άδεια, χρησιμοποιούν τη λειτουργία OCR για να ταξινομήσουν τις εικόνες αναζητώντας σχετικό κείμενο. Αρκετές από τις εφαρμογές βρίσκονται ακόμη στο App Store και φαίνεται να στοχεύουν σε χρήστες iOS στην Ευρώπη και την Ασία.
Παρόλο που οι εφαρμογές στοχεύουν στην κλοπή πληροφοριών crypto, η Kaspersky αναφέρει ότι το κακόβουλο λογισμικό είναι αρκετά ευέλικτο ώστε να μπορεί επίσης να χρησιμοποιηθεί για πρόσβαση σε άλλα δεδομένα που καταγράφονται σε screenshots, όπως passwords. Οι εφαρμογές Android επηρεάζονται επίσης, συμπεριλαμβανομένων των εφαρμογών από το Google Play Store, αλλά οι χρήστες του iOS συχνά αναμένουν ότι οι συσκευές τους είναι ανθεκτικές στο malware.
Η Apple ελέγχει κάθε εφαρμογή στο App Store και μια κακόβουλη εφαρμογή σηματοδοτεί αποτυχία της διαδικασίας ελέγχου. Σε αυτή την περίπτωση, δεν φαίνεται να υπάρχει προφανής ένδειξη ενός trojan στην εφαρμογή και τα δικαιώματα που ζητάει φαίνεται να είναι απαραίτητα για τη βασική λειτουργία.
Η Kaspersky προτείνει στους χρήστες να αποφεύγουν την αποθήκευση screenshots με ευαίσθητες πληροφορίες, όπως οι φάσεις ανάκτησης του crypto wallet, στη Photo Library για να παραμείνουν ασφαλείς από αυτού του είδους τις επιθέσεις.
[via]
