Приложения со SparkCat также распространяются через сторонние ресурсы
Эксперты «Лаборатории Касперского» обнаружили новый вариант троянца SparkCat в App Store и Google Play — спустя год после того, как он впервые был выявлен и удалён из официальных магазинов. Вредоносная программа скрывается в легитимных на первый взгляд приложениях — корпоративных мессенджерах и приложениях для доставки еды — и сканирует фотогалерею пользователя в поиске фраз для восстановления доступа к криптокошелькам.
Эксперты «Лаборатории Касперского» обнаружили два заражённых приложения в App Store и одно в Google Play. Они сообщили об этом в Google и Apple, в Google Play зловред уже удалён. При этом приложения со SparkCat также распространяются через сторонние ресурсы. Некоторые из таких сайтов мимикрируют под App Store, если открывать их с iPhone.
На кого нацелен. На Android-устройствах обновлённая версия троянца сканирует изображения в галерее заражённых устройств на наличие ключевых слов на японском, корейском и китайском языках. Это позволяет предположить, что кампания в первую очередь нацелена на пользователей в Азии. В то же время вариант для iOS использует иной подход: он ищет мнемонические фразы криптокошельков на английском языке, что потенциально расширяет географию атак и делает угрозу актуальной для пользователей по всему миру.
Технические особенности. Обновлённая версия SparkCat для Android отличается более высокой степенью сложности по сравнению с предыдущими версиями. Она использует несколько уровней обфускации, включая виртуализацию кода и применение кроссплатформенных языков программирования.
«Обновлённый вариант SparkCat, как и первая версия, в определённых сценариях запрашивает доступ к просмотру фотографий в галерее смартфона. Троянец анализирует текст на изображениях с помощью технологии оптического распознавания символов. Обнаружив релевантные ключевые слова, он отправляет изображение злоумышленникам. Сходство текущего образца с предыдущей версией позволяет предположить, что за их разработкой стоят одни и те же авторы. Важно внимательно относиться к выдаче доступов приложениям, даже если они загружены из официальных магазинов, а также использовать на устройствах защитные решения», — комментирует Сергей Пузан, эксперт по кибербезопасности в «Лаборатории Касперского».
«SparkCat — развивающаяся мобильная угроза. Её создатели постоянно усложняют техники обхода анализа, и в результате программа обходит проверку безопасности в официальных магазинах приложений. Кроме того, методы, используемые разработчиками SparkCat, такие как виртуализация кода и кроссплатформенные языки программирования, редко применяются при разработке вредоносного ПО под мобильные устройства. Это свидетельствует о высоком уровне подготовки атакующих», — дополняет Дмитрий Калинин, эксперт по кибербезопасности в «Лаборатории Касперского».
Продукты «Лаборатории Касперского» детектируют угрозу следующими вердиктами: HEUR:Trojan.AndroidOS.SparkCat.*, HEUR:Trojan.IphoneOS.SparkCat.*
Специалисты «Лаборатории Касперского» рекомендуют владельцам смартфонов:
- использовать надёжное защитное решение. Kaspersky для Android защитит от установки вредоносного ПО, а Kaspersky для iOS в силу архитектурных особенностей операционной системы Apple покажет предупреждение, если обнаружит попытку передачи данных на командный сервер злоумышленников;
- не хранить в галерее скриншоты с конфиденциальной информацией, в том числе фразы для восстановления доступа к криптовалютным кошелькам. Лучше использовать для этого специальные программы — менеджеры паролей, например Kaspersky Password Manager;
- по возможности отказаться от предоставления приложению полного доступа к галерее. Вместо этого лучше выдать приложению доступ только к тем фотографиям, с которыми хотите в нём работать.
