Поделиться
«Касперский» обнаружил первый вирус, ворующий данные с фото в iPhone. Он умеет обчищать криптокошельки
Обнаружен новый троянец, который крадет данные с фото в iPhone. Вирус обнаружен в поддельных приложениях, но скаченных из официальных App Store и Google Play.
Вредоносное ПО в приложениях
Неизвестный ранее троянец обнаружила «Лаборатория Касперского» в 20 поддельных приложениях на App Store и Google Play. Программы, в которые он был встроен, скачали из Google Play более 242 тыс. раз, рассказали представители «Лаборатория Касперского» CNews.
Вирус назвали SparkCat. Он был замечен в приложениях мессенджеров, ИИ-ассистентов, приложений для доставки еды и для доступа к криптобирже. По словам эксперта по кибербезопасности «Лаборатории Касперского» Сергея Пузана, это первый известный случай интеграции вредоносной программы, крадущей данные пользователя, в приложениях в официальном App Store.
«Эта кампания разрушает стереотипы о том, что вредоносных приложений под iOS не существует, а Android-угрозы не актуальны для владельцев устройств Apple», — сказал эксперт по кибербезопасности «Лаборатории Касперского» Дмитрий Калинин.
«Лаборатория Касперского» уведомила Google и Apple о наличии вредоносных приложений. Пока нет точных данных о том, оказались ли они заражены в результате атаки на цепочку поставок или их разработчики намеренно встраивали в них троянца.
Цель — криптокошельки
Основная цель атакующих — найти фразы для восстановления доступа к криптокошелькам, чтобы заполучить цифровые активы жертв, выяснили специалисты. Поддельное приложение после запуска запрашивает доступ к просмотру фото и с помощью оптического распознавания символов (OCR) анализирует текст на изображениях в галерее, сказали они.
«Технологии машинного обучения в последнее время все чаще применяются для автоматизации рутинных задач. Описанный инцидент демонстрирует, что злоумышленники тоже проявляют активный интерес к таким решениям, в том числе для избирательной кражи изображений с использованием OCR-модели», — прокомментировал Калинин.
«Поскольку seed-фраза, т. е. последовательность из 12, 18 или 24 слов для восстановления доступа к криптовалютному кошельку, достаточно объемна, а криптокошельки стали создавать весьма безответственные пользователи, то они стали сохранять ее изображение прямо на устройстве», — объяснил директор департамента расследований T.Hunter Игорь Бедеров «Ведомостям».
Зачастую пользователи при первом использовании приложения бездумно предоставляют программе доступ ко всем настройкам устройства, в том числе к фотоленте, заметил замдиректора по трансферу технологий ЦК НТИ «Технологии хранения и анализа больших данных» на базе МГУ Тимофей Воронин. Разрешение на доступ к галерее, которое пытается получить зловред, бывает необходимо, например при обращении в службу поддержки.
К владельцам SparkCat может попасть и другая информация, например содержание сообщений или пароли, если они есть на скриншотах.
Кому грозит опасность
Сейчас атаки SparkCat нацелены преимущественно на пользователей из Европы и Азии, но с ними могут столкнуться и пользователи из России, сказали представители «Лаборатория Касперского». По данным Воронина, В России криптокошельки есть примерно у 6% населения, или у 12% трудоспособного.
Опасность обнаруженного троянца заключается в том, что он смог проникнуть в официальные магазины приложений, подчеркнул Воронин. Зловред может затронуть большее количество пользователей, учитывая то, что он распространяется не только в Google Play, но и в App Store. Хотя, по его мнению, более перспективными направлениями для распространения вирусов являются, например, азиатские государства, являющиеся лидерами по количеству владельцев криптовалют.
В июне 2023 г. CNews писал о схеме, с помощью которой у владельцев криптовалюты из России и стран СНГ в период с 24 декабря 2022 г. по восьмое марта 2023 г. украли более $5 млн. Хакеры использовали для этого 150 поддельных сайтов и приложений, где предлагали жертвам торговать криптой.
Похожие вирусы на Android
SparkCat — первый известный троянец-стилер для iOS в App Store, утверждают специалисты «Лаборатория Касперского».
С похожим вирусом ранее сталкивались только владельцы устройств на Android, рассказал Воронин. В 2023 г. трояны CherryBloss и FakeTrade заражали устройства на Android и с помощью OCR — CherryBloss распространялся под видом приложения для майнеров, а FakeTrade — под видом приложений для онлайн-шопинга.
В 2024 г. был обнаружен вредонос SpyAgent, также нацеленный на кражу доступа к криптокошельку с помощью OCR и в основном на жителей Южной Кореи, добавил эксперт.
Поделиться
Короткая ссылка
