- โดยใช้ Google ML Kit สำหรับการแยกข้อความ SparkCat ส่งข้อมูลที่ถูกขโมยผ่านช่องสื่อสารที่เข้ารหัสลับ ทำให้ยากต่อการตรวจพบ
- วิธีโจมตีที่เป็นเอกลักษณ์ของ SparkCat รวมถึงเฟรมเวิร์ก Objective-C บน iOS และ SDK ที่ใช้ภาษา Java บน Android
ซึ่งดูเหมือนจะไม่เป็นอันตราย
SparkCat ใช้การรู้จำตัวอักษรด้วยแสงสำหรับการขโมย
SparkCat สแกนภาพที่เก็บไว้ในแกลเลอรีของอุปกรณ์เพื่อค้นหาวลเล็ทแบบกู้คืน มันทำการสแกนผ่านเทคโนโลยีการรับรู้ตัวอักษรทางประสาททางประสาทที่จับข้อความจากภาพ ผู้ใช้ที่บันทึกรูปภาพหน้าจอบางส่วนและบันทึกเกี่ยวกับวอลเล็ทเป็นเหยื่อของการรั่วไหลข้อมูล
โปรแกรมอันตรายนี้เริ่มทำงานในเดือนมีนาคม 2024 และติดเชื้อในแอปพลิเคชันรวมถึงแอปพลิเคชันการสนทนา AI และบริการสั่งอาหารใน Google Play Store และ App Store ที่ถูกดำเนินการโดย Apple อย่างน่าสนใจครั้งแรกที่โปรแกรมอันตรายประเภทนี้ที่ใช้ OCR ปล้นสกุลเงินดิจิตอลโดยใช้อุปกรณ์ Apple
ใน Android มันแพร่กระจายผ่าน SDK ที่เรียกว่า Spark ซึ่งเป็น Java-based และแว่นหน้าเสแกนดูเหมือนโมดูลวิเคราะห์และถูกฝังลงในแอปพลิเคชัน เมื่อผู้ใช้เปิดใช้แอปพลิเคชันที่ติดเชื้อ มัลแวร์จะดึงไฟล์กำหนดค่าที่ถูกเข้ารหัสจากที่เก็บไว้ในระยะไกลบน GitLab
เมื่อเปิดใช้งาน SparkCat จะใช้ฟังก์ชัน OCR ของ Google ML Kit เพื่อสแกนภาพภายในแกลเลอรีของอุปกรณ์ โปรแกรมจะค้นหาคำสำคัญเกี่ยวกับวลเล็ตการกู้คืนกระเป๋าสตางค์สกุลเงินดิจิตอลในหลายภาษา เช่น อังกฤษ จีน ญี่ปุ่น เกาหลี และหลายภาษายุโรป ตามรายงานของ KasperSky
มัลแวร์ส่งภาพถ่ายไปยังเซิร์ฟเวอร์ที่ควบคุมโดยผู้โจมตีเพื่อนำข้อมูลที่ถูกขโมยออกไป วิธีการโอนถ่ายรวมถึงการใช้พื้นที่จัดเก็บข้อมูลในคลาวด์ของ Amazon พร้อมกับโปรโตคอลที่ใช้ภาษา Rust ซึ่งทำให้เป็นไปได้ยากที่จะติดตามเนื่องจากมีการสื่อสารที่เข้ารหัสและเทคนิคการส่งข้อมูลที่ไม่เป็นธรรมดา
iOS การละเมิดผ่านกรอบที่เป็นอันตราย
ตัวแปร iOS ของ SparkCat ทำงานแตกต่างเนื่องจากมันฝังตัวเองในแอปพลิเคชันที่ถูกคัดค้านในรูปแบบเฟรมเวิร์กภายใต้ชื่อต่าง ๆ เช่น GZIP, googleappsdk หรือ stat กรอบการทำงานที่ไม่ดีนี้ที่เขียนด้วย Objective-C ถูกทำให้ซับซ้อนโดยใช้ HikariLLVM และผสม Google ML Kit สำหรับการวิเคราะห์ภาพของแกลเลอรีอุปกรณ์
ไม่เหมือนรุ่น Android ใน iOS มัลแวร์จะขอเข้าถึงแกลอรี่รูปภาพเฉพาะเมื่อมีการดำเนินการที่เฉพาะเจาะจงโดยผู้ใช้ เช่น เปิดแชทสนับสนุนภายในแอปที่ติดเชื้อ นี่ช่วยลดความสงสัยในขณะที่ยังอนุญาตให้มัลแวร์เรียกคืนข้อมูลที่เกี่ยวข้องกับกระเป๋าเงิน
รายงานจาก Kaspersky กล่าวว่านอกเหนือจากวลีการกู้คืน มัลแวร์ยังสามารถขโมยข้อมูลที่เป็นไปได้อื่น ๆที่มีความไวต่อข้อมูลที่เป็นอยู่ ซึ่งรวมถึงรหัสผ่านที่เก็บไว้และเนื้อหาของข้อความที่ถูกจับภาพหน้าจอ นักวิทยาศาสตร์ด้านความปลอดภัยประเมินว่า SparkCat ได้ทำลายกับอุปกรณ์มากกว่า 242,000 เครื่อง โดยส่วนใหญ่ตั้งอยู่ในยุโรปและเอเชีย
อย่างไรก็ตามต้นกำเนิดของมัลแวร์ยังไม่ทราบ จากความคิดเห็นของโค้ดและข้อความผิดพลาด สามารถรู้ได้ว่านักพัฒนาพูดภาษาจีน การโจมตีมัลแวร์ต่อผู้ใช้คริปโตยังคงเพิ่มขึ้นเรื่อย ๆ โดยผู้ประพฤติทางไซเบอร์ซ้ำ ๆ หาวิธีที่จะหลีกเลี่ยงมาตรการรักษาความปลอดภัยที่สำหรับตลาดแอป
ในเดือนกันยายน พ.ศ. 2024 Binance สัญญาณ Clipper malware ที่แทนที่ที่อยู่กระเป๋าเงินที่ถูกคัดลอกด้วยที่ควบคุมโดยผู้โจมตี มันนำผู้เสียหายไปส่งเงินไปยังปลายทางที่เป็นฉ้อโกงโดยไม่รู้ตัว ตามที่เราได้พูดคุยกันแล้วในปี 2024 ผู้ลงทุนสูญเสียมากกว่า 3 พันล้านดอลลาร์ในภาวะฉ้อโกงและแฮก
