Обнаружены первые случаи iOS-приложений из App Store, зараженных вредоносным ПО, которое считывает снимки экрана.

Компания по обеспечению кибербезопасности Kaspersky сообщила сегодня о том, что приложения, распространяемые через магазины приложений Apple и Google, скрывают вредоносный код для чтения снимков экрана, который используется для кражи криптовалюты. Это первый известный случай, когда зараженные приложения, использующие технологию OCR (оптического распознавания символов) для извлечения текста из изображений, попали в App Store Apple.

Kaspersky обнаружила этот код в отдельной кампании вредоносного ПО под названием "SparkCat" поздней осенью 2024 года. Судя по всему, фреймворки для него были созданы в марте того же года. Вредоносное программное обеспечение работает на iOS и некоторых устройствах Android следующим образом: когда пользователь пытается воспользоваться службой поддержки чата внутри зараженного приложения, вирус запрашивает доступ к галерее изображений пользователя. Получив разрешение, оно использует технологию OCR от Google для распознавания текста на фотографиях и поиска таких данных, как снимки экрана паролей или фраз восстановления кошельков криптовалюты. Затем вредоносное ПО отправляет найденные изображения злоумышленникам, которые могут использовать эту информацию для доступа к кошелькам и кражи криптовалюты.

Kaspersky не может с уверенностью подтвердить, что заражение произошло в результате атаки на цепочку поставок или намеренных действий разработчиков. Компания называет два приложения чат-ботов на основе ИИ — WeTink и AnyGPT, которые, вероятно, были созданы для этой кампании и все еще доступны в App Store. Кроме того, Kaspersky обнаружила вредоносный код в легитимном приложении доставки еды под названием ComeCome, которое также можно скачать.

Ни Apple, ни Google сразу не ответили на запрос The Verge о комментарии.