A Google Play Áruházban és az Apple App Store-ban található Android- és iOS alkalmazások egy része rosszindulatú SDK-t (Software Development Kit – szoftverfejlesztő készletet) tartalmaznak, amelyek OCR (Optical Character Recognition – optikai karakterfelismerő) segítségével a felhasználók kriptovaluta tárcáinak helyreállítási kifejezéseit lopják el. A kampány a “SparkCat” nevet kapta az egyik fertőzött alkalmazásban található rosszindulatú SDK-komponens (“Spark”) után.
Hogyan működik a támadás?
A fertőzött Android-alkalmazásokban lévő rosszindulatú SDK egy „Spark” nevű Java-komponenst tartalmaz, amely elemzési modulnak álcázza magát. Valójában viszont egy GitLab-en tárolt, titkosított konfigurációs fájl parancsait követi. iOS platformon a keretrendszer különböző neveken fut, például „Gzip”, „googleappsdk” vagy „stat”. Egy “im_net_sys” elnevezésű Rust-alapú hálózati modult használ, ami a C2 (Command and Control) szerverekkel való kommunikációért felel. A modul a Google ML Kit OCR funkciójának segítségével nyeri ki a szöveget a készüléken tárolt képekből, és megpróbálja megtalálni azokat a helyreállítási kifejezéseket, amelyek segítségével a támadók a jelszó ismerete nélkül is hozzáférhetnek az áldozatok kriptotárcáihoz.
A malware a képeken különböző nyelveken, meghatározott kulcsszavakat keres, melyek régiónként eltérőek lehetnek.
A Kaspersky kutatói 18 Android- és 10 fertőzött iOS alkalmazást találtak, amelyek közül némelyik jelenleg is elérhető az alkalmazásboltokban. A fertőzöttnek nyilvánított alkalmazások között szerepelt például az Android ChatAi, ami több mint 50 000-szer került letöltésre. Szerencsére már nem érhető el Google Playen. Az érintett alkalmazások teljes listája a Kaspersky jelentésének végén található.
Ha valamelyik fertőzött alkalmazást telepítettük, javasolt az azonnali eltávolítása a készülékről, valamint futtassunk víruskeresőt!
A gyári beállítások visszaállítását is érdemes megfontolni a teljes biztonság érdekében.
A kriptovaluta tárcák helyreállítási kifejezéseit képernyőképekben tárolni továbbra sem ajánlott. Inkább fizikai offline adathordozón, titkosított cserélhető tárolóeszközökön vagy saját, offline jelszókezelőben tároljuk őket!
