242.000 puta preuzeti maliciozne aplikacije sa Androida i iOS-a

U šokantnom otkriću, istraživači su otkrili široko rasprostranjenu kampanju malicioznog softvera koja cilja korisnike Androida i iOS-a.

Nazvana “SparkCat”, ova maliciozna operacija uključuje aplikacije ugrađene sa malicioznim SDK dizajniranim za krađu fraza za oporavak novčanika kriptovaluta.

Zaražene aplikacije, od kojih su neke bile dostupne na Google Play-u i App Store-u, preuzete su preko 242.000 puta.

Dok su istraživači na SecureList kompanije Kaspersky Labs primijetili da je ovo prvi poznati slučaj špijunskog softvera baziranog na OCR kripto novčaniku koji ulazi u Appleov App Store.

SparkCat analiza

Maliciozni softver SparkCat koristi dodatak za OCR (Optical Character Recognition) ugrađen u Google-ovu ML Kit biblioteku za skeniranje slika u galeriji uređaja u potrazi za ključnim riječima koje se odnose na fraze za oporavak kriptovalute .

Maliciozni softver je koristio SDK/framework koji je inkorporirao Google-ovu ML Kit biblioteku za OCR (Optical Character Recognition) mogućnosti.

Ove ključne riječi uključuju izraze kao što su “助记词” (kineski za “mnemonički”), “ニーモニック” (japanski za “mnemonički”) i “mnemonički” na engleskom. Kada se identifikuju, slike se šalju serveru za komandu i kontrolu (C2) na dalju analizu.

{
    "keywords": ["助记词", "助記詞", "ニーモニック", "기억코드", "Mnemonic", 
                 "Mnemotecnia", "Mnémonique", "Mnemotechnika", "Mnemônico", 
                 "클립보드로복사", "복구", "단어", "문구", "계정", "Phrase"]
}

Na Androidu, maliciozni kod je pronađen u aplikaciji za dostavu hrane “ComeCome” (paket: com.bintiger.mall.android) sa preko 10.000 preuzimanja.

Na iOS-u, malicioni okvir je otkriven u više aplikacija App Store, koristeći imena kao što su:

• GZIP
• googleappsdk
• stat

iOS verzija je sadržavala simbole za otklanjanje grešaka koji otkrivaju porijeklo razvoja na kineskom jeziku, sa stazama uključujući “/Users/qiongwu/” i “/Users/quiwengjing/”.

Maliciozni softver komunicira sa C2 serverom koristeći neidentifikovani protokol implementiran u Rust, jezik koji nije uobičajen u mobilnim aplikacijama.

Kada komunicira sa “rust” serverom, maliciozni softver prati proces u tri faze:-

1. Šifrovanje : Podaci su šifrovani pomoću AES-256 u CBC načinu.
2. Kompresija : Šifrovani podaci se kompresuju pomoću ZSTD.
3. Prijenos : Kompresovani podaci se šalju preko TCP utičnica koristeći prilagođenu biblioteku.

{
    "path": "upload@<PATH>",
    "method": "POST",
    "contentType": "application/json",
    "data": "<DATA>"
}

Izvor: CyberSecurityNews