В App Store и Google Play сумел проникнуть троянец, крадущий данные с фото

Изображение от frimufilms на Freepik

«Лаборатория Касперского» обнаружила новую вредоносную программу, которая с помощью нейросети крадет данные на фото в устройствах Apple и смартфонах на Android, чтобы найти подсказки для доступа к криптокошелькам жертв.

Первые с прицелом на iOS

Как следует из сообщения компании, зловреда, получившего имя SparkCat, можно «подцепить» как на неофициальных площадках, так и в официальных магазинах приложений App Store и Google Play: он распространяется в составе зараженных мессенджеров, ИИ-ассистента, приложений для доставки еды и для доступа к криптобирже. Причем это «первый известный троянец-стилер для iOS в App Store».

«В App Store регулярно проникали различные скам- и мошеннические приложения, однако это первый известный случай интеграции вредоносной программы, крадущей данные пользователя, в приложения в официальном магазине. У нас нет точных сведений о том, оказались они заражены в результате атаки на цепочку поставок или другим способом. Некоторые сервисы, например доставки еды, выглядят вполне легитимными, тогда как другие, очевидно, являются приманкой. Например, мы видели несколько схожих «мессенджеров» с заявленными функциями ИИ от одного и того же разработчика», – комментирует эксперт «Лаборатории Касперского» по кибербезопасности Сергей Пузан.

«Опасность обнаруженного троянца заключается в том, что он смог проникнуть в официальные маркеты», – подчеркивает его коллега Дмитрий Калинин. По его словам, «эта кампания разрушает стереотипы о том, что вредоносных приложений под iOS не существует, а Android-угрозы неактуальны для владельцев устройств Apple».

Как работает

Троянец запрашивает на зараженном смартфоне доступ к просмотру фотографий и анализирует текст на изображениях в галерее с помощью модели оптического распознавания символов (OCR). Если SparkCat обнаруживает ключевые слова, то отправляет картинку злоумышленникам.

Цель схемы – поиск фраз, позволяющих восстановить доступ к криптокошельку и добраться до цифровых активов жертвы. Также вредоносная программа может красть содержание сообщений или пароли, если они есть на скриншотах.

«Разрешение на чтение галереи, к которой пытается получить доступ зловред, порой необходимо для корректной работы приложения и запрашивается в необходимых для этого местах, например при обращении в службу поддержки. Это может усыплять бдительность как модераторов на официальных площадках, так и пользователей», – обращает внимание Калинин.

Кто под угрозой?

«Лаборатория Касперского» уведомила Google и Apple о наличии вредоносных приложений. При этом SparkCat продолжает распространяться на неофициальных площадках.

В компании считают, что пока атаки SparkCat нацелены в основном на пользователей Android- и iOS-смартфонов в ОАЭ, странах Европы и Азии, но не исключают прихода этой киберугрозы и в другие регионы, включая Россию. Программы с вредоносным модулем скачали из Google Play более 242 тыс. раз.

В числе рекомендаций экспертов в этой связи (помимо использования защитных решений) – не хранить в галерее скриншоты с конфиденциальной информацией, в том числе фразы для восстановления доступа к криптовалютным кошелькам, а также по возможности отказаться от предоставления приложению полного доступа к галерее.