Perisian pembangunan yang berbahaya digunakan untuk membuat aplikasi di Google Play Store dan App Store Apple sedang mengimbas gambar pengguna untuk mencari frasa pemulihan dompet kripto untuk menguras dana di dalamnya, kata firma keselamatan siber Kaspersky Labs.
Analis Kaspersky, Encik Sergey Puzan dan Encik Dmitry Kalinin berkata dalam laporan pada 4 Februari bahawa sekali perisian berbahaya yang dipanggil SparkCat menjangkiti peranti, ia mencari gambar menggunakan kata kunci tertentu dalam pelbagai bahasa melalui pencuri pengenalan aksara optik (OCR).
"Penceroboh mencuri frasa pemulihan untuk dompet kripto, yang cukup untuk mendapatkan kawalan penuh ke atas dompet mangsa untuk pencurian dana lanjut," tulis Puzan dan Kalinin.
"Perlu diperhatikan bahawa kelonggaran perisian berbahaya ini membolehkannya mencuri bukan sahaja frasa rahsia tetapi juga data peribadi lain dari galeri, seperti kandungan mesej atau kata laluan yang mungkin terdapat dalam tangkapan skrin."
Seorang pengguna yang menjadi mangsa perisian berbahaya ini meninggalkan ulasan Google di halaman Aplikasi. Sumber: Kaspersky Labs
Analis Kaspersky menyarankan agar tidak menyimpan maklumat sensitif dalam tangkapan skrin atau galeri gambar telefon dan sebaliknya menggunakan pengurus kata laluan. Mereka juga mengatakan untuk menghapuskan sebarang aplikasi yang mencurigakan atau terinfeksi.
Puzan dan Kalinin berkata bahawa dalam aplikasi Android, perisian berbahaya ini menggunakan komponen Java yang dipanggil Spark, yang berpura-pura sebagai modul analitik, dan sebuah fail konfigurasi terenkripsi yang disimpan di GitLab, yang menyediakan arahan dan kemas kini operasi.
Modul rangkaian berasaskan kepercayaan menggunakan Google ML Kit OCR untuk mengekstrak teks daripada imej pada peranti yang dijangkiti, mencari frasa pemulihan yang boleh digunakan untuk memuatkan dompet crypto pada peranti penyerang tanpa mengetahui kata laluan.
Kaspersky menganggarkan perisian berbahaya ini telah dimuat turun sebanyak 242,000 kali sejak ia menjadi aktif sekitar bulan Mac, terutamanya menarget pengguna Android dan iOS di Eropah dan Asia.
Kaspersky mengatakan perisian berbahaya ini terdapat dalam puluhan aplikasi, sama ada yang sebenar atau palsu, di kedua-dua kedai aplikasi Google dan Apple tetapi mempunyai ciri-ciri yang sama di semua aplikasi tersebut, seperti penggunaan bahasa Rust, yang "jarang ditemui dalam aplikasi mudah alih," keupayaan lintas platform, dan pengaburan yang membuatkan analisis dan pengesanan menjadi sukar.
Kaspersky Labs menemui aplikasi palsu yang mengandungi SparkCat di kedai aplikasi Google Play dan Apple App Store. Sumber: Kaspersky Labs
Puzan dan Kalinin berkata tidak jelas sama ada aplikasi yang terjejas "terinfeksi sebagai hasil serangan rantaian bekalan atau sama ada pembangun dengan sengaja memasukkan Trojan ke dalamnya."
"Sesetengah aplikasi, seperti perkhidmatan penghantaran makanan, kelihatan sah, manakala yang lain jelas dibina untuk menarik mangsa - sebagai contoh, kami telah melihat beberapa "aplikasi perpesanan" yang serupa dengan ciri kecerdasan buatan daripada pembangun yang sama," tambah mereka.
Berkaitan: Pencurian kripto, kerugian penipuan mencapai $29 juta pada Disember, terendah pada 2024
Puzan dan Kalinin berkata asal-usul perisian berbahaya ini tidak jelas, dan ia tidak boleh dikaitkan dengan mana-mana kumpulan yang diketahui, tetapi ia serupa dengan kempen pada Mac 2023 yang ditemui oleh penyelidik ESET.
Walau bagaimanapun, pasangan itu telah menemui ulasan dan perihalan ralat yang ditulis dalam bahasa Cina dalam kod tersebut, memberikan mereka "alasan untuk mempercayai bahawa pembangun modul berniat jahat itu fasih berbahasa Cina."
Google dan Apple tidak segera memberikan respons kepada permintaan komen.
Majalah: Anda harus 'pergi dan membina' ejen AI anda sendiri: Jesse Pollak, X Hall of Flame