Forskere markerer crypto-stjælende malware i Google og Apple-apps.

Kaspersky-researchere har detaljeret en tværplatformsmalvarekampagne, der sigter mod kryptokurrency tegnebogs gendannelsesfraser gennem skadelige mobile apps.
Ifølge en ny rapport bruger “SparkCat” -kampagnen et ondsindet softwareudviklingskit (SDK) integreret i ændrede beskedapps og andre applikationer til at scanne brugernes billedgallerier efter følsomme gendannelsesdata. Denne teknik blev først observeret i marts 2023.
På det tidspunkt observerede cybersikkerhedsforskere malwarefunktioner inden for beskedapps, der scannede brugernes gallerier for krypto tegnebogs gendannelsesfraser – almindeligt kendt som mnemonik – for at sende til fjerne servere.
Den indledende kampagne påvirkede kun Android- og Windows-brugere gennem uofficielle app-kilder, sagde forskerne.
Dette er ikke tilfældet for SparkCat, der blev opdaget sent i 2024. Denne nye kampagne anvender et SDK-rammeværk integreret i forskellige apps tilgængelige på officielle og uofficielle app-markeder til Android- og iOS-enheder.
I et tilfælde blev der fundet et fødevareleveringsapp kaldet “ComeCome” på Google Play, der indeholdt det skadelige SDK. De inficerede apps er samlet installeret mere end 242.000 gange, og lignende malware blev senere identificeret i apps tilgængelige på Apples App Store.
Stephen Ajayi, dApp audit teknisk leder hos krypto-cybersikkerhedsfirmaet Hacken, fortalte Decrypt, at de forebyggende foranstaltninger, som app-butikker normalt bruger, som regel er automatiserede kontrol og sjældent inkluderer manuelle gennemgange.
Slava Demchuk, administrerende direktør for blockchain-analysefirmaet AMLBot, fremhævede yderligere, at problemet forværres af kodeobfuskation og skadelige opdateringer, der introducerer malware efter, at en app allerede er blevet godkendt.
“På SparkCats tilfælde obfuskere angribere indgangspunktet for at skjule deres handlinger for sikkerhedsforskere og retshåndhævelsesmyndigheder,” sagde han til Decrypt. “Denne taktik hjælper dem med at undgå opdagelse, samtidig med at de holder deres metoder hemmelige for konkurrenter.”
Malwaren bruger Googles ML Kit-bibliotek til at udføre optisk tegngenkendelse (OCR) på billeder gemt på brugernes enheder. Når brugere får adgang til en support-chatfunktion inden for appen, beder SDK’en dem om en tilladelsesanmodning om at læse billedgalleriet.
Hvis tilladelse gives, scanner applikationen billederne efter nøgleord, der antyder mnemonic-tilstedeværelse på flere sprog. Matchende billeder krypteres derefter og sendes til en fjernserver.
Demchuk bemærkede, at “denne angrebsvektor er ret usædvanlig – jeg har primært set lignende taktikker i hæveautomatsvindel, hvor angribere stjæler pinkoder.”
Han tilføjede, at gennemførelse af et sådant angreb kræver en god teknisk kunnen, og hvis processen blev enklere at replikere, kunne det forårsage meget mere skade.
“Hvis erfarne svindlere begynder at sælge færdiggjorte scripts, kunne denne metode sprede sig hurtigt,” sagde han.
Ajayi var enig i, og bemærkede at “OCR til scanning er en så smart trick,” men han tror stadig, at der er plads til forbedring. “Forestil dig kombinationen af OCR og AI til automatisk at udvælge følsomme oplysninger fra billeder eller skærme.”
Som råd til brugere anbefalede Demchuk at tænke sig om to gange, før de giver tilladelser til apps. Ajayi foreslog også, at tegnebogsudviklere “burde finde bedre måder at behandle og vise følsomme data som seed fraser.”