Kaspersky otkrio malware SparkCat koji cilja korisnike kriptovaluta

Stručnjaci Kasperskog, globalne tvrtka za kibernetičku sigurnost i digitalnu privatnost, otkrili su novi, izrazito napredni malware, aktivan od ožujka 2024. godine, specifično usmjeren na korisnike kriptovaluta kroz zaražene aplikacije dostupne i na Google Playu i na Apple App Storeu.

Ivan Podnar petak, 7. veljače 2025. u 06:00
📷 Ilustracija: Bug.hr
Ilustracija: Bug.hr

Ovo je prvi poznati slučaj da je špijunski softver koji koristi OCR tehnologiju uspio proći kroz Appleovu trgovinu aplikacija.

Koristi Googleovu ML Kit biblioteku

Zlonamjerni program predstavlja se kao analitički alat pod nazivom SparkCat i koristi Googleovu ML Kit biblioteku kako bi pregledavao korisničke fotografije u potrazi za frazama za oporavak novčanika na različitim jezicima, kako Kasperski navodi: kineski, japanski, korejski, engleski, češki, francuski, talijanski, poljski i portugalski. Međutim, stručnjaci vjeruju da bi žrtve mogle biti i iz drugih zemalja.

Aplikacija za dostavu hrane ComeCome za iOS bila je zaražena, baš kao i njezina Android verzija. 📷 Kaspersky
Aplikacija za dostavu hrane ComeCome za iOS bila je zaražena, baš kao i njezina Android verzija. Kaspersky

Android i iOS koriste slične tehnike

Program traži pristup galeriji fotografija pod izlikom da korisnicima omogući dodavanje slika u razgovore s korisničkom podrškom. Nakon što dobije pristup, pretražuje fotografije s određenim ključnim riječima povezane s kripto novčanicima te pronađene slike šalje na poslužitelje pod kontrolom napadača. Poznato je da neki korisnici kriptovaluta fotografiraju fraze i ključne rijeci te ih tako čuvaju u foto albumima na svojim mobilnim telefonima.

Istraživači su otkrili inačice i za Android i za iOS koje koriste slične tehnike. Posebno je zanimljiva iOS verzija jer je uspjela zaobići Appleov inače vrlo strog proces provjere aplikacija.

Još jedan primjer je aplikacija za komunikaciju u AppStoreu 📷 Kaspersky
Još jedan primjer je aplikacija za komunikaciju u AppStoreu Kaspersky

Oko 242.000 preuzimanja iz Google Playa

Doseg ovog malwarea nije mali - prema procjenama Kasperskog, u trgovini Google Play od njegova prvog pojavljivanja zabilježeno je oko 242.000 preuzimanja. Iako prvenstveno pogađa korisnike u Europi i Aziji, utjecaj SparkCata je globalan.

Malware je pronađen ugrađen u različitim vrstama mobilnih aplikacija, od naizgled legitimnih usluga poput aplikacija za dostavu hrane do sumnjivijih poput aplikacija za razmjenu poruka s AI značajkama. Ove zaražene aplikacije dijele zajedničke karakteristike, uključujući korištenje programskog jezika Rust, višeplatformsku funkcionalnost i napredne tehnike prikrivanja.