Поделиться
Троян для Android, распознающий текст на изображениях, поумнел и научился английскому
Эксперты «Лаборатории Касперского» обнаружили обновлённую версию вредоноса SparkCat, печально знаменитого функциями распознавания текста на изображениях, которые он использует для кражи мнемонических фраз. Версия под iOS стала «понимать» английский язык.
Мнемонический вор-полиглот
Исследователи «Лаборатории Касперского» выявили новый вариант вредоноса для мобильных платформ SparkCat, который пытается выудить из пользовательской фотогалереи изображения с мнемоническими фразами для криптокошельков.
Вредонос, по данным исследователей, скрывался в безвредных на первый взгляд приложениях, таких как корпоративные мессенджеры или приложения службы доставки еды. Они обнаружились и в Google Play, и в Apple App Store.
SparkCat впервые был задокументирован в феврале 2025 года. Исследователи отметили, что троянец использовал модель оптического распознавания текста для поиска и кражи мнемонических (seed) фраз к криптокошелькам. Знание такой фразы позволяет злоумышленникам «клонировать» чужие крипторесурсы и, соответственно, выводить средства из них от лица хозяина. Возместить потерю в таких случаях может быть очень проблематично.
Китайский, японский, корейский, и английский тоже
Новая версия под Android пытается распознавать ключевые слова на японском, корейском и китайском языках. Это свидетельствует, что основной целью были пользователи в Юго-Восточной и Восточной Азии. По мнению экспертов Kaspersky, родным языком авторов вредоносной программы является китайский.
Версия под iOS, кроме того, пытается найти ключевые слова и на английском языке, что значительно расширяет охват, хотя бы в теории.
Для Android-версии также характерно использование сразу множества слоёв обфускации, нацеленных на то, чтобы помешать анализу кода. В числе таковых - виртуализация кода и кроссплатформенные языки программирования.
Как и первый вариант вредоноса, нынешний после установки пытается получить доступ к фотогалерее пользовательского устройства, и как раз это и должно вызывать подозрения, полагает Никита Павлов, эксперт по информационной безопасности компании SEQ.
«Лишь очень небольшому проценту мобильных приложений действительно нужен доступ к фотогалерее, и, как правило, лишь эпизодический, - говорит эксперт. - И если с корпоративным мессенджером ещё могут быть сомнения, то зачем такой доступ приложению по доставке еды? Даже если речь идёт о приложении из официального маркета, запросы на избыточный доступ к личным данным пользователя - явный признак вредоносной природы программы».
К настоящему времени большинство скомпрометированных приложений из магазинов Apple и Google удалены.
В Kaspersky не преминули упомянуть, что антивирусные приложения для мобильных устройств - актуальная необходимость. Вредоносы, подобные SparkCat, раз за разом это подтверждают.
Операторы криптовалютных ресурсов регулярно напоминают пользователям, что хранить изображения с мнемоническими фразами на мобильных устройствах - крайне нежелательно с точки зрения безопасности данных.
Поделиться
Короткая ссылка
