Впервые обнаружено вредоносное ПО для чтения экрана в App Store: оно может украсть вашу криптовалюту

В магазинах приложений iOS и Android обнаружено вредоносное ПО, получившее название «SparkCat», которое крадет криптовалюту. В этом ПО встроена «зловредная библиотека/рамка для кражи фраз восстановления криптокошельков».

Согласно отчету Kaspersky, некоторые вредоносные приложения имеют более 10 000 загрузок и сканируют галереи жертв в поисках ключевых слов. Если найдены соответствующие изображения, они отправляются на сервер управления и контроля (C2).

Это первый случай обнаружения кражи данных в App Store Apple, что весьма значительно, поскольку Apple проверяет каждую запись, чтобы «обеспечить безопасный и надежный опыт для пользователей». Факт наличия зараженных вредоносным ПО приложений показывает, что процесс проверки не так строг, как следовало бы.

Хотя malware нацелен на кражу фраз восстановления криптокошельков, Kaspersky отмечает, что он «достаточно гибкий» для кражи других конфиденциальных данных из галерей жертв.

Кампания вредоносного ПО «SparkCat» была впервые обнаружена в конце 2024 года и, по предположениям, действует с марта 2024 года. Первым приложением, которое Kaspersky идентифицировал, было приложение для доставки китайской еды ComeCome. Приложение имело более 10 000 загрузок и базированное в Индонезии и ОАЭ. В нем была встроена зловредная составляющая, а также шпионское ПО OCR, которое выбирало изображения с зараженных устройств для передачи на сервер C2.

Однако ComeCome не было единственным зараженным приложением. Исследователи обнаружили, что зараженные приложения в Google Play были загружены более чем 242 000 раз. В 2024 году из магазина Play Store было заблокировано более 2 миллионов рискованных приложений для Android, включая некоторые, которые пытались распространить вредоносное ПО и шпионское ПО. Таким образом, хотя Google улучшает свою защиту, видно, что некоторые приложения все еще проникают в магазин.

В App Store некоторые приложения «казались законными», например, службы доставки еды, в то время как другие, очевидно, были созданы для «заманивания жертв». Исследователи привели в пример серию похожих мессенджеров с функциями искусственного интеллекта от одного и того же разработчика, включая AnyGPT и WeTink.

Неясно, являются ли эти заражения результатом преднамеренных действий разработчиков или атак цепочки поставок. Отчет Kaspersky отмечает, что «требуемые разрешения могут казаться необходимыми для основной функциональности или выглядеть безобидно с первого взгляда».

"Особенно опасным этот троянский конь делает то, что в приложении нет никаких признаков вредоносного кода", – добавляют в Kaspersky.

Чтобы снизить риск заражения malware, Kaspersky рекомендует удалить зараженное приложение с вашего устройства и воздержаться от его использования до выпуска исправления. Список зараженных приложений можно найти здесь. Существует программное обеспечение, которое может помочь защитить ваше устройство, например антивирусное ПО.

Лучший способ защиты от этого particular malware — это избежать хранения паролей, конфиденциальных документов или другой чувствительной информации в галерее. Вместо этого Kaspersky рекомендует использовать лучшие менеджеры паролей для безопасного хранения информации, так как они представляют собой более безопасный и удобный вариант для хранения паролей в фотографиях.

Убедитесь, что вы не используете один и тот же пароль на нескольких сайтах, и регулярно меняйте пароли, чтобы избежать взлома.

Существуют некоторые приемы, помогающие избежать malware-приложений, и учитывая, что опасные приложения с вредоносным ПО были установлены миллионы раз, всегда лучше быть осторожным. Во-первых, будьте бдительны и обратите внимание на предупреждающие знаки. Просмотрите отзывы и комментарии, особенно негативные, так как, вероятно, кто-то уже отметил ошибку.

Будьте очень подозрительны по отношению к приложениям, которые запрашивают ваши учетные данные в социальных сетях, так как это могут быть преступники, пытающиеся взломать вашу учетную запись.