Исследователи компании Kaspersky обнаружили вредоносное ПО, способное делать снимки экрана, в магазинах приложений App Store и Google Play.

Исследователи из «Касперского» выявили вредоносное ПО, распространяемое через приложения на платформах Android и iOS. Дмитрий Калягин и Сергей Пузан представили результаты своего расследования о кампании вредоносного ПО под названием SparkCat, которая, вероятно, действует с марта 2024 года.

«Мы не можем с уверенностью утверждать, было ли заражение следствием атаки на цепочку поставок или намеренных действий разработчиков», — написали исследователи. «Некоторые из приложений, такие как службы доставки еды, казались легитимными, в то время как другие были, вероятно, созданы для заманивания жертв».

Дмитрий и Сергей отметили, что операция SparkCat скрытна и на первый взгляд выглядит так, будто запрашиваются обычные или безобидные разрешения. Некоторые из приложений, в которых они обнаружили вредоносное ПО, до сих пор доступны для загрузки, включая приложение доставки еды ComeCome и чат-боты на основе ИИ AnyGPT и WeTink.

Вредоносное ПО использует оптический распознаватель символов (OCR), чтобы просматривать библиотеку фотографий устройства в поисках скриншотов восстановительных фраз для криптовалютных кошельков. По оценке исследователей, зараженные приложения из Google Play были загружены более 242 000 раз.

«Касперский» подчеркнул: «Это первый известный случай обнаружения приложения с OCR-шпионским ПО в официальном магазине Apple». Apple часто акцентирует внимание на строгой безопасности своего App Store, и хотя случаи появления вредоносного ПО там были редкими, это открытие напоминает о том, что даже защищенная экосистема не является неприступной для атак.