Kampanye malware baru yang dijuluki Sparkcat telah memanfaatkan setelan aplikasi palsu di toko aplikasi Apple dan Google masing -masing untuk mencuri frasa mnemonik korban yang terkait dengan dompet cryptocurrency.
Serangan tersebut memanfaatkan model Optical Character Recognition (OCR) untuk exfiltrate memilih gambar yang berisi frasa pemulihan dompet dari pustaka foto ke server perintah-dan-kontrol (C2), peneliti Kaspersky Dmitry Kalinin dan Sergey Puzan mengatakan dalam laporan teknis.
Moniker adalah referensi ke kit pengembangan perangkat lunak tertanam (SDK) yang menggunakan komponen Java yang disebut Spark yang menyamar sebagai modul analitik. Saat ini tidak diketahui apakah infeksi tersebut merupakan akibat dari serangan rantai pasokan atau apakah itu sengaja diperkenalkan oleh pengembang.
Meskipun ini bukan pertama kalinya Android Malware dengan kemampuan OCR terdeteksi di alam liar, ini adalah salah satu contoh pertama di mana pencuri semacam itu ditemukan di App Store Apple. Aplikasi yang terinfeksi di Google Play dikatakan telah diunduh lebih dari 242.000 kali.
Kampanye ini dinilai telah aktif sejak Maret 2024, dengan aplikasi didistribusikan melalui toko aplikasi resmi dan tidak resmi. Aplikasi menyamar sebagai kecerdasan buatan (AI), pengiriman makanan, dan aplikasi Web3, meskipun beberapa dari mereka tampaknya menawarkan fungsionalitas yang sah.
“Modul malware Android akan mendekripsi dan meluncurkan plug-in OCR yang dibangun dengan perpustakaan Kit ML Google, dan menggunakannya untuk mengenali teks yang ditemukan di gambar di dalam galeri,” kata Kaspersky. “Gambar yang cocok dengan kata kunci yang diterima dari C2 dikirim ke server.”
Dalam nada yang sama, versi iOS dari Sparkcat bergantung pada perpustakaan kit ML Google untuk OCR untuk mencuri gambar yang berisi frasa mnemonik. Aspek penting dari malware adalah penggunaan mekanisme komunikasi berbasis karat untuk C2, sesuatu yang jarang diamati dalam aplikasi seluler.
Analisis lebih lanjut dari kata kunci yang digunakan dan daerah di mana aplikasi ini tersedia menunjukkan bahwa kampanye ini terutama menargetkan pengguna di Eropa dan Asia. Dinilai bahwa aktivitas jahat adalah pekerjaan aktor ancaman yang fasih berbahasa Cina.
“Apa yang membuat Trojan ini sangat berbahaya adalah bahwa tidak ada indikasi implan jahat yang tersembunyi di dalam aplikasi,” kata para peneliti. “Izin yang diminta mungkin terlihat seperti diperlukan untuk fungsionalitas intinya atau tampak tidak berbahaya pada pandangan pertama.”
Pengungkapan ini datang ketika Zimperium Zlabs merinci kampanye malware seluler lain yang menargetkan pemilik perangkat Android India dengan mendistribusikan file APK berbahaya melalui WhatsApp dengan kedok aplikasi perbankan dan pemerintah, yang memungkinkan aplikasi untuk memanen informasi pembacaan dan keuangan yang sensitif.
Perusahaan cybersecurity mengatakan telah mengidentifikasi lebih dari 1.000 aplikasi palsu yang terkait dengan kampanye, dengan para penyerang memanfaatkan sekitar 1.000 nomor telepon yang dikodekan sebagai titik exfiltrasi untuk pesan SMS dan kata sandi satu kali (OTP).
“Unlike conventional banking Trojans that rely solely on command-and-control (C&C) servers for one-time password (OTP) theft, this malware campaign leverages live phone numbers to redirect SMS messages, leaving a traceable digital trail for law enforcement agencies to Lacak aktor ancaman di balik kampanye ini, “kata peneliti keamanan Aazim Yaswant.
Kampanye serangan, bernama Fatboypanel, dikatakan telah mengumpulkan 2,5 GB data sensitif hingga saat ini, yang semuanya di -host pada titik akhir Firebase yang dapat diakses oleh siapa pun tanpa otentikasi.
Ini termasuk pesan SMS dari bank-bank India, detail bank, informasi kartu kredit dan debit, dan rincian identifikasi yang dikeluarkan pemerintah milik sekitar 50.000 pengguna, mayoritas di antaranya terletak di negara bagian India Benggala Barat, Bihar, Jharkhand, Karnataka, dan Madhya Pradesh.
Insiden -insiden ini menceritakan kisah peringatan tentang pentingnya aplikasi kode pemeriksaan yang benar, termasuk meneliti ulasan dan memeriksa keaslian pengembang, sebelum mengunduhnya, bahkan jika mereka diunggah ke etalase app resmi.
Perkembangan ini juga mengikuti kemunculan 24 keluarga malware baru yang menargetkan sistem Apple MacOS pada tahun 2024, naik dari 21 pada tahun 2023, menurut peneliti keamanan Patrick Wardle.
Ini bertepatan dengan lonjakan serangan pencuri informasi, seperti yang melibatkan Poseidon, Atomic, dan Cthulhu, yang secara khusus ditujukan untuk pengguna sistem operasi desktop.
“Infostealer yang memanfaatkan macOs sering mengeksploitasi kerangka kerja apel asli,” Palo Alto Networks Unit 42 peneliti Tom Faksterman, Chen Erlich, dan Tom Sharon mengatakan dalam sebuah laporan yang diterbitkan minggu ini.
“Kerangka kerja ini menyediakan akses OS yang luas, dan juga menyederhanakan eksekusi dengan sintaksis bahasa alami. Karena petunjuk ini bisa terlihat seperti petunjuk sistem yang sah, aktor ancaman menggunakan kerangka kerja ini untuk menipu korban melalui rekayasa sosial.”
