Опасный зловред SparkCat снова замечен в App Store и Google Play

Эксперты Kaspersky обнаружили новый вариант троянца SparkCat в App Store и Google Play — спустя год после того, как он впервые был выявлен и удалён из официальных магазинов. Вредоносная программа скрывается в легитимных на первый взгляд приложениях — корпоративных мессенджерах и приложениях для доставки еды — и сканирует фотогалерею пользователя в поиске фраз для восстановления доступа к криптокошелькам.

Специалисты Kaspersky обнаружили два заражённых приложения в App Store и одно в Google Play. Они сообщили об этом в Google и Apple, в Google Play зловред уже удалён. При этом приложения со SparkCat также распространяются через сторонние ресурсы. Некоторые из таких сайтов мимикрируют под App Store, если открывать их с iPhone.

На кого нацелен. На Android-устройствах обновлённая версия троянца сканирует изображения в галерее заражённых устройств на наличие ключевых слов на японском, корейском и китайском языках. Это позволяет предположить, что кампания в первую очередь нацелена на пользователей в Азии. В то же время вариант для iOS использует иной подход: он ищет мнемонические фразы криптокошельков на английском языке, что потенциально расширяет географию атак и делает угрозу актуальной для пользователей по всему миру.

Технические особенности. Обновлённая версия SparkCat для Android отличается более высокой степенью сложности по сравнению с предыдущими версиями. Она использует несколько уровней обфускации, включая виртуализацию кода и применение кроссплатформенных языков программирования.

«Обновлённый вариант SparkCat, как и первая версия, в определённых сценариях запрашивает доступ к просмотру фотографий в галерее смартфона. Троянец анализирует текст на изображениях с помощью технологии оптического распознавания символов. Обнаружив релевантные ключевые слова, он отправляет изображение злоумышленникам. Сходство текущего образца с предыдущей версией позволяет предположить, что за их разработкой стоят одни и те же авторы. Важно внимательно относиться к выдаче доступов приложениям, даже если они загружены из официальных магазинов, а также использовать на устройствах защитные решения», — комментирует Сергей Пузан, эксперт по кибербезопасности в Kaspersky.

«SparkCat — развивающаяся мобильная угроза. Её создатели постоянно усложняют техники обхода анализа, и в результате программа обходит проверку безопасности в официальных магазинах приложений. Кроме того, методы, используемые разработчиками SparkCat, такие как виртуализация кода и кроссплатформенные языки программирования, редко применяются при разработке вредоносного ПО под мобильные устройства. Это свидетельствует о высоком уровне подготовки атакующих», — дополняет Дмитрий Калинин, эксперт по кибербезопасности в Kaspersky.

Регион: 

Рубрики: 

Заметили ошибку? Выделите ее мышкой и нажмите Ctrl+Enter!