SparkCat «перебрался» на iPhone
На iPhone обнаружили ранее неизвестный троян — он похищает фото устройства. Ранее с таким вирусом сталкивались только владельцы смартфонов на Android. Как выяснили эксперты «Лаборатории Касперского», заражение iPhone происходит через вредоносные приложения, которые маскируются под популярные программы и доступны для скачивания в App Store и Google Play. Так, в магазинах были обнаружены не менее 20 «зараженных» мессенджеров, ИИ-ассистентов, клиентов криптобирж и приложений для доставки еды. Из Google Play приложения, в которые был встроен вредоносный фреймворк, скачали свыше 240 тыс. раз.
Это первый известный случай заражения устройств через программы, скачанные из App Store, указал эксперт «Лаборатории Касперского» по кибербезопасности Дмитрий Калинин: «В ходе мониторинга мы обнаружили новую троянскую программу SparkCat, которая нацелена на криптокошельки пользователей. Вирус сам по себе достаточно скрытный. Во-первых, разрешения, которые он запрашивает, также нужны для легитимного функционала приложению, в которое он встроен. Помимо этого, разрешения чаще всего запрашиваются в необходимых для того местах, например, в чате с поддержкой, в приложениях для доставки еды, а также используются вредоносом нейросети, чтобы распознавать слова на картинках, по которым избирательно загружаются фотографии на командные сервера злоумышленников.
На «зараженном» смартфоне вирус в первую очередь запрашивает доступ к галерее устройства. Вредоносная программа анализирует текст на изображениях, используя модель оптического распознавания символов.
Если стилер обнаружит ключевые слова, то отправляет картинку злоумышленникам. Цель атакующих — найти фразы для восстановления доступа к криптокошелькам, чтобы заполучить цифровые активы жертв. Кроме того, зловред может красть и другие данные, например, содержание сообщений или пароли, если они есть на скриншотах».
На что тратят и на чем зарабатывают киберпреступники
Как пользователю распознать вредоносное или зараженное приложение? Есть несколько маркеров, пояснил руководитель аналитического центра Zecurion Владимир Ульянов: «Пользователи данной экосистемы априори считают себя в безопасности. И это ложное чувство часто играет злую шутку. Там нет фейковых приложений, но нюанс заключается в том, что некоторые отдельные сервисы действительно могут быть потенциально или реально опасны. Безусловно, там есть определенные проверки и в плане разработчика при регистрации в магазине, и самих приложений, но никто не будет запускать каждое из них, устанавливать и смотреть, а что оно делает, нет ли какой-то потенциально опасной активности. Понятное дело, что какие-то обнаруживаются и изымаются оттуда. Разработчик, который выложил эти приложения, блокируется. Но ничего не мешает создать еще один аккаунт и от его лица сделать новый сервис, это, кстати, не очень дорого.
Самое важное — откуда мы получили ссылку, кто нам порекомендовал скачать конкретную программу? Фактически можно говорить о том, что используются методы социальной инженерии.
Количество потенциально опасных приложений очень мало, поэтому даже если мы видим какое-то новое, которое только что появилось, это не значит, что оно опасное, но это индикатор, что стоит внимательно к нему присмотреться».
Как злоумышленники используют программы-стилеры
Сейчас атаки SparkCat нацелены преимущественно на пользователей из Европы и Азии, но с ними могут столкнуться и жители России, указал представитель «Лаборатории Касперского». По его словам, нет точных данных о том, встраивали ли разработчики трояна в свои приложения намеренно, или они оказались заражены в результате атаки на цепочку поставок сторонними разработчиками.
