Обнаружен новый вариант троянца

Эксперты «Лаборатории Касперского» обнаружили новый вариант троянца SparkCat в App Store и Google Play спустя год после того, как он впервые был выявлен и удален из официальных магазинов. Вредоносная программа скрывается в легитимных на первый взгляд приложениях (корпоративных мессенджерах и приложениях для доставки еды) и сканирует фотогалерею пользователя в поиске фраз для восстановления доступа к криптокошелькам.

Эксперты «Лаборатории Касперского» обнаружили два зараженных приложения в App Store и одно в Google Play. Они сообщили об этом в Google и Apple, в Google Play зловред уже удалён. При этом приложения со SparkCat также распространяются через сторонние ресурсы. Некоторые из таких сайтов мимикрируют под App Store, если открывать их с iPhone. 

На Android-устройствах обновленная версия троянца сканирует изображения в галерее зараженных устройств на наличие ключевых слов на японском, корейском и китайском языках. Это позволяет предположить, что кампания в первую очередь нацелена на пользователей в Азии. В то же время вариант для iOS использует иной подход: он ищет мнемонические фразы криптокошельков на английском языке, что потенциально расширяет географию атак и делает угрозу актуальной для пользователей по всему миру.

Обновленная версия SparkCat для Android отличается более высокой степенью сложности по сравнению с предыдущими версиями. Она использует несколько уровней обфускации, включая виртуализацию кода и применение кроссплатформенных языков программирования.

«Обновленный вариант SparkCat, как и первая версия, в определенных сценариях запрашивает доступ к просмотру фотографий в галерее смартфона. Троянец анализирует текст на изображениях с помощью технологии оптического распознавания символов. Обнаружив релевантные ключевые слова, он отправляет изображение злоумышленникам. Сходство текущего образца с предыдущей версией позволяет предположить, что за их разработкой стоят одни и те же авторы. Важно внимательно относиться к выдаче доступов приложениям, даже если они загружены из официальных магазинов, а также использовать на устройствах защитные решения», — комментирует Сергей Пузан, эксперт по кибербезопасности в «Лаборатории Касперского».

«SparkCat — развивающаяся мобильная угроза. Её создатели постоянно усложняют техники обхода анализа, и в результате программа обходит проверку безопасности в официальных магазинах приложений. Кроме того, методы, используемые разработчиками SparkCat, такие как виртуализация кода и кроссплатформенные языки программирования, редко применяются при разработке вредоносного ПО под мобильные устройства. Это свидетельствует о высоком уровне подготовки атакующих», — дополняет Дмитрий Калинин, эксперт по кибербезопасности в «Лаборатории Касперского».

Фото из открытых источников