Эксперты «Лаборатории Касперского» выявили новую версию троянца SparkCat в официальных магазинах приложений App Store и Google Play. Этот вредонос маскируется под обычные приложения, такие как корпоративные мессенджеры и сервисы доставки еды, и сканирует фотогалереи пользователей в поисках фраз для восстановления доступа к криптокошелькам.
Год назад этот троянец уже обнаруживался в магазинах приложений и был удален. Теперь он снова появился. Специалисты «Лаборатории Касперского» нашли два зараженных приложения в App Store и одно в Google Play. После их уведомления Google уже удалила вредонос из своего магазина. Тем не менее, приложения с SparkCat также распространяются через сторонние ресурсы, некоторые из которых имитируют App Store при открытии с iPhone.
На устройствах под управлением Android обновленная версия троянца ищет ключевые слова на японском, корейском и китайском языках в изображениях галереи, что указывает на ориентацию кампании в основном на азиатских пользователей. Вариант для iOS, напротив, ищет мнемонические фразы криптокошельков на английском языке, что расширяет потенциальную географию атак на весь мир.
Сергей Пузан, эксперт по кибербезопасности из «Лаборатории Касперского», отметил, что обновленный SparkCat, как и его предыдущая версия, в определенных случаях запрашивает доступ к фотографиям в галерее смартфона. Троянец использует технологию оптического распознавания символов для анализа текста на изображениях и отправляет соответствующие изображения злоумышленникам при обнаружении ключевых слов. Сходство между версиями позволяет предположить, что за их разработкой стоят одни и те же авторы. Он подчеркнул важность осторожного подхода к выдаче разрешений приложениям, даже если они загружены из официальных магазинов, а также рекомендовал использовать защитные решения на устройствах.
Специалисты «Лаборатории Касперского» советуют владельцам смартфонов:
- использовать надежное защитное программное обеспечение;
- не сохранять в галерее скриншоты с конфиденциальной информацией, включая фразы для восстановления доступа к криптовалютным кошелькам. Для этого лучше применять специализированные программы, такие как менеджеры паролей;
- по возможности ограничивать доступ приложений к галерее, предоставляя им доступ только к тем фотографиям, с которыми необходимо работать.
Обнаружение нового варианта троянца SparkCat в официальных магазинах приложений подчеркивает постоянную эволюцию угроз кибербезопасности. Способность вредоноса маскироваться под легитимные приложения и нацеливаться на конфиденциальную информацию, такую как фразы для восстановления криптокошельков, представляет значительный риск для пользователей. Распространение через сторонние ресурсы дополнительно усложняет ситуацию. Различие в языковых целях для Android и iOS может указывать на сегментацию целевой аудитории или на различные стратегии монетизации. Рекомендации по использованию защитных решений и осторожному управлению разрешениями приложений остаются актуальными мерами предосторожности.