Первый шпионский софт с распознаванием текста взламывает магазины приложений Apple и Google, чтобы украсть фразы для криптокошельков

Исследователи компании Kaspersky обнаружили вредоносное ПО, маскирующееся под приложения для обмена сообщениями и доставки еды, которое присутствует как в Google Play, так и в App Store Apple.

Данное ПО использует оптическое распознавание символов (OCR) для кражи фраз восстановления криптовалютных кошельков из галерей фотографий пользователей.

Безопасная компания ESET окрестила это вредоносное ПО "SparkCat". Инфицированные приложения в Google Play собрали более 242 000 загрузок. Это первый известный случай, когда шпионское ПО на основе OCR попало в App Store Apple.

Вредоносное ПО, активное с марта 2024 года, маскируется под аналитический SDK под названием "Spark" и использует библиотеку Google ML Kit для сканирования фотографий пользователей в поисках фраз восстановления кошельков на нескольких языках. Оно запрашивает доступ к галерее под предлогом возможности прикрепления изображений к сообщениям поддержки. Получив доступ, оно ищет специфические ключевые слова, связанные с криптокошельками, и отправляет найденные изображения на серверы, контролируемые злоумышленниками.

Исследователи обнаружили версии вредоносного ПО как для Android, так и для iOS, использующие подобные техники. Версия для iOS особенно примечательна тем, что она обошла строгие процедуры проверки приложений Apple. Создатели вредоносного ПО, судя по комментариям в коде и сообщениям об ошибках сервера, являются носителями китайского языка, хотя окончательная атрибуция остается неясной.