سبارك كات: برنامج ضار متعدد المنصات ينتشر عبر متاجر التطبيقات

لقد كشف باحثو الأمان السيبراني من “كاسبرسكي” عن حملة برمجية ضارة جديدة أطلقوا عليها اسم “سبارك كات”، تستهدف مستخدمي أندرويد وiOS من خلال المتاجر الرسمية للتطبيقات، بما في ذلك Google Play ومتجر التطبيقات الخاص بـ Apple.

تقول Kaspersky أن هذه تمثل الحالة الأولى للعثور على “stealer” داخل نظام Apple، مما يثير القلق حول ثغرات الأمان في التطبيقات المحمولة.

تم اكتشاف البرمجيات الخبيثة، المدمجة داخل مجموعة تطوير البرمجيات الخبيثة (SDK)، في تطبيقات Android و iOS التي حققت أكثر من 242,000 تنزيل.

يعمل SparkCat بشكل أساسي كسارق لتعرف الأحرف البصرية (OCR)، حيث يقوم بمسح الصور في معارض أجهزة المستخدمين لاستخراج عبارات استعادة محفظة الكريبتو. تمكن هذه التقنية المهاجمين من تجاوز التدابير الأمنية التقليدية والحصول على وصول غير مصرح به إلى الأصول الرقمية للضحايا.

تتبعت التحقيقات التي قامت بها ESET نشاط SparkCat إلى مارس 2024. يعمل البرنامج الضار عبر استخدام مكون إضافي OCR مبني على مكتبة Google ML Kit لتحديد واستخراج النصوص الحساسة من الصور.

يتم بعدها إرسال البيانات المسروقة إلى خادم الأوامر والتحكم (C2) باستخدام بروتوكول اتصال معتمد في Rust – لغة برمجة نادرة الاستخدام في التطبيقات المحمولة، مما يعمل على إخفاء عملياتها بشكل أكبر.

تم العثور على واحدة من التطبيقات المُصابة، وهو خدمة توصيل الطعام تُدعى “ComeCome”، على Google Play مع أكثر من 10,000 تنزيل. في نسخته 2.0.0، قام التطبيق بشكل سرّي بتضمين برنامج ضار يُدعى “Spark”.

بمجرد التثبيت، تواصل “Spark” مع مستودع GitLab لتنزيل التعليمات المخفية، التي قام بفك تشفيرها وفك ترميزها. إذا فشل ذلك، استخدم الإعدادات الاحتياطية المدمجة بالفعل في البرنامج الضار.

لسرقة البيانات، استخدم البرنامج الخبيث التشفير القوي قبل إرسالها إلى خادم تحت سيطرة القراصنة. أضاف البرنامج طبقات من طرق التشفير، بما في ذلك AES-256، ومفاتيح RSA، والضغط، مما جعله صعباً على خبراء الأمن تتبع أو فك شفرة المعلومات المسروقة.

دفعت التطبيقات المصابة المستخدمين للسماح بالوصول إلى معرض الصور الخاص بهم تحت ذريعة التفاعلات الدعم العملاء. إذا تم الموافقة على الإذن، بحث البرنامج الخبيث بنشاط عن الكلمات الرئيسية المتعلقة بالعملات الرقمية في لغات متعددة، بما في ذلك الإنجليزية والصينية والفرنسية، لتحديد عبارات الاستعادة القيمة.

تحذر خبراء الأمن المستخدمين من أن يتم تنزيل التطبيقات بحذر، حتى من المصادر الرسمية، ومراجعة الأذونات المتعلقة بالتطبيقات بانتظام للتقليل من الأخطار المحتملة.

توضح اكتشاف SparkCat الأخطار المستمرة التي تشكلها حملات البرمجيات الخبيثة المتطورة داخل الأسواق الرقمية الموثوقة.