В Google Play виявили шкідливе ПЗ для зчитування скріншотів

Дослідники з “Касперського” виявили шкідливе програмне забезпечення, яке поширюється через додатки в мобільних магазинах на Android та iOS. Дмитро Калінін і Сергій Пузан поділилися своїм розслідуванням кампанії з розповсюдження шкідливого програмного забезпечення, яку вони назвали SparkCat і яка, ймовірно, була активною з березня 2024 року.

“Ми не можемо з упевненістю стверджувати, чи було зараження результатом атаки на ланцюжок поставок, чи навмисних дій розробників, – пишуть автори. “Деякі з додатків, такі як служби доставки їжі, виглядали легітимними, тоді як інші, очевидно, були створені для заманювання жертв”.

Дует Касперських сказав, що SparkCat – це непомітна операція, яка, на перший погляд, запитує звичайні або нешкідливі дозволи. Деякі з додатків, в яких вони виявили шкідливе програмне забезпечення, все ще доступні для завантаження, в тому числі додаток для доставки їжі ComeCome і додатки для чату зі штучним інтелектом AnyGPT і WeTink.

Шкідливе програмне забезпечення, про яке йде мова, використовує оптичне розпізнавання символів (OCR) для перегляду бібліотеки фотографій пристрою, шукаючи скріншоти фраз для відновлення криптовалютних гаманців. За їхньою оцінкою, заражені додатки Google Play були завантажені понад 242 000 разів. Касперський каже: “Це перший відомий випадок, коли додаток, заражений шпигунським програмним забезпеченням OCR, було знайдено в офіційному магазині додатків Apple”.

Apple часто пропагує сувору безпеку App Store, і хоча випадки появи шкідливого програмного забезпечення були рідкісними, це відкриття є нагадуванням про те, що сад, обнесений стіною, не є непроникним для атак.