Ovo je prvi poznati slučaj da je špijunski softver koji koristi OCR tehnologiju uspio proći kroz Appleovu trgovinu aplikacija.

Koristi Googleovu ML Kit biblioteku

Zlonamjerni program predstavlja se kao analitički alat pod nazivom SparkCat i koristi Googleovu ML Kit biblioteku kako bi pregledavao korisničke fotografije u potrazi za frazama za oporavak novčanika na različitim jezicima, kako Kasperski navodi: kineski, japanski, korejski, engleski, češki, francuski, talijanski, poljski i portugalski. Međutim, stručnjaci vjeruju da bi žrtve mogle biti i iz drugih zemalja.

Android i iOS koriste slične tehnike

Program traži pristup galeriji fotografija pod izlikom da korisnicima omogući dodavanje slika u razgovore s korisničkom podrškom. Nakon što dobije pristup, pretražuje fotografije s određenim ključnim riječima povezane s kripto novčanicima te pronađene slike šalje na poslužitelje pod kontrolom napadača. Poznato je da neki korisnici kriptovaluta fotografiraju fraze i ključne rijeci te ih tako čuvaju u foto albumima na svojim mobilnim telefonima.

Istraživači su otkrili inačice i za Android i za iOS koje koriste slične tehnike. Posebno je zanimljiva iOS verzija jer je uspjela zaobići Appleov inače vrlo strog proces provjere aplikacija.

Oko 242.000 preuzimanja iz Google Playa

Doseg ovog malwarea nije mali - prema procjenama Kasperskog, u trgovini Google Play od njegova prvog pojavljivanja zabilježeno je oko 242.000 preuzimanja. Iako prvenstveno pogađa korisnike u Europi i Aziji, utjecaj SparkCata je globalan.

Malware je pronađen ugrađen u različitim vrstama mobilnih aplikacija, od naizgled legitimnih usluga poput aplikacija za dostavu hrane do sumnjivijih poput aplikacija za razmjenu poruka s AI značajkama. Ove zaražene aplikacije dijele zajedničke karakteristike, uključujući korištenje programskog jezika Rust, višeplatformsku funkcionalnost i napredne tehnike prikrivanja.