Поделиться
В магазине приложений для iPhone впервые нашли трояны для взлома криптокошельков и кражи криптовалют
Эксперты «Лаборатории Касперского» обнаружили более десятка вредоносных приложений под iOS и Android, которые содержат компоненты для распознавания текста в изображениях. Приложения предназначены для кражи фраз восстановления для криптокошельков.
Глазастые программы
Эксперты «Лаборатории Касперского» выявили вредоносные инструменты в Google Play Store и - впервые - в Apple App Store. Речь идет об SDK (наборе инструментов для разработки), который содержит компонент, предназначенный для взлома криптовалютных кошельков.
Одним из ключевых средств защиты криптокошельков являются фразы для восстановления — комбинации из нескольких (минимум трех) слов, без знания которых невозможно восстановить доступ к кошельку, если забыт пароль.
SDK, обнаруженный специалистами «Касперского», позволяет перехватывать эти фразы, используя средства распознавания текста.
Кампания, которую в «Лаборатории Касперского» окрестили SparkCat, выглядит довольно масштабной. Только в Google Play, где сведения о количестве скачиваний общедоступны, приложения, содержащие компоненты этого SDK, скачали более 242 тыс. раз.
Сколько пользователей iOS могли скачать и установить себе приложения с вредоносной «начинкой», доподлинно неизвестно.
В отчете «Лаборатории» указывается, что версии приложений под Android используют вредоносный компонент Java под названием Spark, который выдает себя за модуль аналитики. Этот модуль подтягивает файл настроек, который хранится на Gitlab, — через него осуществляется обновление вредоноса и управление им.
Под iOS все выглядит несколько иначе. Вредоносный фреймворк там носит названия Gzip, googleappsdk или stat; он также использует сетевой модуль, написанный на Rust и называющийся im_net_sys, — через него осуществляется связь с контрольными серверами.
ML-модели на службе криминала
Этот модуль также использует средства распознавания текста на базе моделей машинного обучения Google. Этот инструмент перебирает графические файлы на устройстве потенциальной жертвы в надежде найти там распознаваемый текст, относящийся к фразам восстановления.
В зависимости от языка, установленного в системе, используются сразу несколько моделей, предназначенные для распознавания латинских символов, а также корейских, китайских и японских иероглифов.
Всего эксперты «Лаборатории» насчитали 18 приложений с вредоносными закладками под Android и 10 — под iOS.
Среди перечисленных — приложение ChatAI под Android, которое установили более 50 тыс. раз. Сейчас оно уже недоступно в Google Play.
«К сожалению, несмотря на строгую модерацию на официальных площадках, а также на известность схемы по краже криптокошельков при помощи OCR, зараженные приложения все равно оказались в Google Play и App Store. Особенно опасен троянец тем, что ничто не выдает вредоносный имплант внутри приложения: запрашиваемые им разрешения могут использоваться в основной функциональности приложения или показаться на первый взгляд неопасными, а работает зловред достаточно скрытно», — говорится в исследовании «Лаборатории».
В разделе «Индикаторы компрометации» приводятся ссылки и имена пакетов зараженных приложений.
Эксперты компании обращают внимание на то, что в разработке применялся язык Rust, достаточно редкий в мобильной сфере.
«Rust — сравнительно новый язык, и его использование свидетельствует о высоком уровне подготовки авторов вредоноса», — отмечает Никита Павлов, эксперт по информационной безопасности компании SEQ. «В целом речь явно о кампании, которую запустили очень информированные и целеустремленные злоумышленники. На это указывает и то, что они смогли обойти предельно жесткую модерацию Apple App Store и обеспечить длительную скрытность своей разработке».
Эксперт указал, что в тексте исследования начало кампании датировано мартом 2024 г.
Пользователям рекомендуется не хранить в галерее мобильного устройства скриншоты с чувствительной информацией и использовать защитные инструменты, в том числе под iOS.
Короткая ссылка
