كاسبرسكي تحذر من برمجية SparkCat الخبيثة التي تستهدف المفاتيح الخاصة على أندرويد وiOS
تم الكشف عن برنامج ضار جديد تسلل إلى تطبيقات الهواتف المحمولة الشهيرة لسرقة المفاتيح الخاصة لمحافظ العملات الرقمية، حيث تم تحميله أكثر من 200,000 مرة.
يستهدف برنامج SparkCat، وهو برنامج ضار يستهدف مستخدمي أندرويد و iOS، المستخدمين من خلال مجموعات تطوير البرمجيات الضارة المدمجة في تطبيقات تبدو غير ضارة، حسب تحذير شركة الأمن السيبراني كاسبرسكي في تقرير بتاريخ 4 فبراير.
يستخدم البرنامج تقنية التعرف على الأحرف الضوئية، وهي تقنية تقرأ النصوص من الصور، لفحص معرض الصور الخاص بالضحية بحثًا عن عبارات استعادة محافظ العملات الرقمية المخفية في لقطات الشاشة أو الملاحظات المحفوظة.
هذا البرنامج الضار نشط منذ مارس 2024، وبعض هذه التطبيقات المصابة، بما في ذلك تطبيقات توصيل الطعام وتطبيقات المراسلة المدعومة بالذكاء الاصطناعي، كانت متاحة على Google Play و App Store. وهو أيضًا أول حالة معروفة تعتمد على سرقة البيانات باستخدام تقنية التعرف على الأحرف الضوئية تصل إلى منصة آبل.
كيف يعمل SparkCat؟
على نظام أندرويد، يتم حقن البرنامج الضار من خلال مجموعة أدوات تطوير برمجيات قائمة على Java تُعرف باسم Spark، التي تتنكر كأداة تحليلات. عند تشغيل تطبيق مصاب، يسترجع Spark ملف تكوين مشفر من مستودع GitLab عن بُعد.
عند تنشيطه، يستخدم SparkCat أداة التعرف على الأحرف الضوئية من Google ML Kit لفحص معرض الصور على الجهاز. يبحث عن كلمات رئيسية معينة تتعلق بعبارات استعادة محافظ العملات الرقمية عبر لغات متعددة، بما في ذلك الإنجليزية والصينية والكورية واليابانية وعدد من اللغات الأوروبية.
ثم يقوم البرنامج الضار بتحميل الصورة إلى خادم يتحكم فيه المهاجم، إما من خلال تخزين سحابي من أمازون أو عبر بروتوكول قائم على Rust، مما يضيف طبقة إضافية من التعقيد في تتبع نشاطه بسبب نقل البيانات المشفر وطرق الاتصال غير القياسية.
على نظام iOS، يعمل SparkCat من خلال إطار عمل ضار مدمج في التطبيقات المصابة، يتنكر تحت أسماء مثل GZIP و googleappsdk أو stat. هذا الإطار، المكتوب بلغة Objective-C والمشوش باستخدام HikariLLVM، يتكامل مع Google ML Kit لاستخراج النصوص من الصور في المعرض.
لتجنب إثارة الشكوك، لا يطلب إصدار iOS الوصول إلى المعرض إلا عندما يقوم المستخدمون بأفعال محددة، مثل فتح دردشة دعم.
كما حذر التقرير من أن “مرونة البرنامج الضار” تمكنه من سرقة معلومات حساسة أخرى مثل “محتوى الرسائل أو كلمات المرور التي قد تبقى على لقطات الشاشة.”
العديد من المستخدمين في خطر
تقدر كاسبرسكي أن البرنامج الضار أصاب أكثر من 242,000 جهاز في أوروبا وآسيا. بينما يظل الأصل الدقيق مجهولاً، تشير التعليقات المدمجة في الشيفرة ورسائل الخطأ إلى أن مطوري البرنامج الضار يتحدثون الصينية بطلاقة.
حث باحثو كاسبرسكي المستخدمين على تجنب تخزين معلومات مهمة مثل عبارات البذور، والمفاتيح الخاصة وكلمات المرور داخل لقطات الشاشة.
تظل الحملات الضارة المتطورة تهديدًا مستمرًا داخل مجال العملات الرقمية، وليست هذه المرة الأولى التي يتمكن فيها الفاعلون السيئون من تجاوز تدابير الأمان لمتاجر جوجل وآبل.
في سبتمبر 2024، أشار تبادل العملات الرقمية Binance إلى “برمجيات خبيثة Clipper”، التي أصابت الأجهزة عبر تطبيقات ومكونات إضافية غير رسمية واستبدلت عنوان المحفظة المنسوخ للضحية بعنوان يتحكم فيه المهاجم لخداعهم في نقل العملات الرقمية إلى وجهة خاطئة.
في غضون ذلك، لقد تسببت سرقة المفاتيح الخاصة في أضرار جسيمة لصناعة العملات الرقمية، حيث تعتبر واحدة من الأسباب الرئيسية وراء بعض أكبر خسائرها حتى الآن.
أسئلة شائعة
- ما هو برنامج SparkCat؟
- برنامج SparkCat هو برنامج ضار تم اكتشافه حديثًا يستهدف مستخدمي الهواتف المحمولة لسرقة المفاتيح الخاصة لمحافظ العملات الرقمية من خلال تطبيقات تبدو غير ضارة.
- كيف ينتشر برنامج SparkCat؟
- ينتشر SparkCat عبر مجموعات تطوير برمجيات ضارة مدمجة في تطبيقات عادية، ويستخدم تقنيات التعرف على الأحرف الضوئية لفحص الصور بحثًا عن العبارات المتعلقة بالعملات الرقمية.
- ما هي المخاطر المرتبطة ببرنامج SparkCat؟
- تتضمن المخاطر المرتبطة ببرنامج SparkCat سرقة بيانات حساسة مثل عبارات استعادة العملات الرقمية، وكلمات المرور، مما يؤدي إلى خسائر مالية كبيرة للضحايا.
