Експерти на Kaspersky Lab откриха троянеца SparkCat, вграден във фалшиви приложения като услуги за съобщения, асистенти с изкуствен интелект, услуги за доставка на храна и клиенти за обмен на криптовалута в магазините Apple App Store и Google Play. Зловредната рамка, вградена в тези приложения сканира снимките, записани на устройствата, намира чувствителни данни в тях и ги краде. Такива приложения са били изтеглени повече от 242 000 пъти само от Google Play.

Когато потребителят изтегли и инсталира такова приложение, то иска достъп до снимките и ги сканира, като използва алгоритъм за оптично разпознаване на символи (OCR) и анализира текста на снимките. След като открие ключови думи, троянецът изпраща снимката на нападателите. С помощта на този инструмент хакерите имат за цел да получат достъп до портфейли с криптовалути, за да откраднат средства. Не е изключена и кражба на други данни като пароли.

Откритието на SparkCat е забележително по няколко причини. То означава, че киберпрестъпниците активно се интересуват от решения за машинно обучение – това е и първият случай, в който се съобщава за зловреден софтуер за кражба на данни, интегриран в приложения в Apple App Store.

„Тази кампания разчупва стереотипите, че зловредни приложения за iOS не съществуват и че заплахите за Android не са от значение за собствениците на устройства на Apple.“

казват от Kaspersky Lab

По-рано такъв зловреден софтуер е откриван само в приложения за Android: през 2023 година бяха открити троянците CherryBloss и FakeTrade; през 2024 година устройствата на южнокорейски потребители бяха заразени със SpyAgent.

Появата на SparkCat показва промяна в поведението на потребителите, твърдят експерти. За да се възстанови достъпът до портфейлите с криптовалута, се създават фрази от 12, 18 или 24 думи – те са доста дълги и безотговорните потребители ги записват директно на устройствата си. Ако преди идеята за подобна кампания изглеждаше съмнителна, сега нейната ефективност може да е висока. Самият потребител дава на зловредното приложение достъп до галерията и това понякога изглежда оправдано, например при връзка с поддръжката.

Експертите на Kaspersky не са успели да определят дали влизането на троянеца в приложението е умишлено или е действие на разработчици от трети страни. Понастоящем жертви на SparkCat са предимно жители на други страни в Европа и Азия. Компанията вече е уведомила Apple и Google за своето откритие, но се отбелязва, че техният отговор може да отнеме известно време. Щетите от подобни кампании могат да варират от 50 000 до 5 млн. долара, изчисляват експертите.