يستهدف برنامج التجسس الجديد “SparkKitty” محافظ العملات المشفرة عبر متجر التطبيقات وجوجل بلاي

تمكن الباحثون في مجال الأمن من تحديد برنامج تجسس جديد يُسمى SparkKitty، والذي يسرق صور الهواتف الذكية للوصول إلى محافظ العملات المشفرة

أفادت كاسبرسكي أولاً بوجود برنامج التجسس، ويبدو أنه مرتبط بسلالة برامج ضارة سابقة تُعرف بـ SparkCat. أصاب البرنامج الضار عدة تطبيقات على كل من متجر التطبيقات App Store و Google Play، على الرغم من أن بعضها قد تمت إزالته بالفعل.

يشرح الباحثون أن SparkKitty قام بنشر تطبيقات مزيفة تقلد منصات معروفة، بما في ذلك TikTok. بمجرد التثبيت، تطلب التطبيقات الخبيثة الوصول إلى معرض الصور للمستخدم.

تسرق بعض النسخ كل الصور، في حين تستخدم البعض الآخر تقنية التعرف البصري على الأحرف (OCR) لمسح عبارات بذور المحفظة الرقمية، التي هي أكواد فريدة تمنح الوصول إلى العملات الرقمية.

على أجهزة الآيفون، يتم إخفاء البرامج الخبيثة داخل أطُر برمجة وهمية تُقلد الأطُر الشرعية مثل AFNetworking أو Alamofire. أما على أجهزة الأندرويد، فيدمج البرنامج الخبيث نفسه كوحدات ضارة داخل التطبيقات، وبشكل خاص تلك المتعلقة بالرسائل أو العملات الرقمية.

توضح كاسبرسكي أن الحملة بدأت عملها في فبراير 2024 وانتشرت عبر متاجر التطبيقات غير المصرح بها، بالإضافة إلى القنوات الرسمية للتوزيع. تم الكشف الأولي عن البرنامج الخبيث من خلال تطبيقات TikTok الوهمية، التي قامت بتوجيه المستخدمين إلى متجر إلكتروني وهمي يُدعى “TikToki Mall”، والذي كان يقبل الدفع بالعملات المشفرة.

أظهر للمستخدمين الذين دخلوا الموقع من أجهزة آيفون صفحات متجر التطبيقات المزيفة التي خدعتهم لتثبيت التطبيقات المُصابة. استغل القراصنة أيضا برنامج أبل لمطوري الشركات لتوزيع برامجهم الخبيثة، وتجاوزوا بذلك أمان متجر التطبيقات العادي.

بعد الإصابة، يتحقق التطبيق من أكواد التنشيط، يتصل بخادم بعيد للحصول على التعليمات، ويقوم بتحميل الصور المسروقة إلى خوادم تحت سيطرة القراصنة.

أفاد الباحثون بأن تطبيق الرسائل المزيف المدعوم بالتشفير الرقمي تم تحميله أكثر من 10,000 مرة قبل أن يكتشف الباحثون الأمنيون طبيعته الخبيثة.

معظم الضحايا في جنوب شرق آسيا والصين، حيث تضم العديد من التطبيقات المصابة محتوى للمراهنات أو للكبار. ومع ذلك، يمكن لبرامج التجسس استهداف المستخدمين في جميع أنحاء العالم. تتشارك SparkKitty في المزايا التقنية مع SparkCat، مما يشير إلى وجود اتصال مباشر بين الحملتين.

للبقاء في أمان، يجب على المستخدمين تجنب متاجر التطبيقات الخارجية، والتحقق بعناية من أذونات التطبيق، والحفاظ على تحديث أجهزتهم. حتى الصور غير المتعلقة بالعملات المشفرة قد تكون عرضة لهذا التهديد الجاري من برامج التجسس. يجب أن يتذكر الجميع أن الأمان الرقمي هو مسؤولية جماعية.