Специалисты «Лаборатории Касперского» выявили вредоносное программное обеспечение, распространяющееся через магазины мобильных приложений на Android и iOS. Дмитрий Калинин и Сергей Пузан поделились результатами своего расследования кампании распространения вредоносного ПО, которую они назвали SparkCat. Она может быть активна с марта 2024 года.
«Мы не можем с полной уверенностью сказать, является ли заражение результатом атаки на цепочку поставок или преднамеренными действиями разработчиков», — пишут они. «Некоторые приложения, такие как сервисы доставки еды, выглядели нормальными, тогда как другие, по всей видимости, были созданы для привлечения жертв».
По словам исследователей, SparkCat — это скрытая операция, которая на первый взгляд запрашивает обычные или безобидные разрешения. Некоторые из приложений, в которых они обнаружили вредоносное ПО, всё ещё доступны для скачивания, включая приложение для доставки еды ComeCome и ИИ-чат-приложения AnyGPT и WeTink.
Обнаруженное вредоносное ПО использует оптическое распознавание символов (OCR) для анализа фотогалереи устройства в поисках скриншотов с фразами восстановления криптокошельков. По их оценкам, заражённые приложения в Google Play были скачаны более 242 тысяч раз. «Лаборатория Касперского» заявляет: «Это первый известный случай обнаружения шпионского ПО с функцией OCR в официальном магазине приложений Apple».
Apple часто подчёркивает строгую систему безопасности App Store. Хотя случаи появления вредоносного ПО встречаются редко, это открытие напоминает о том, что даже закрытая экосистема не является неуязвимой для атак.