Sikkerhetsekspertene Dmitry Kalinin og Sergey Puzan har publisert en skremmende rapport for sikkerhetsselskapet Kaspersky.
«SparkCat»
Skadevaren, døpt SparkCat, er nemlig oppdaget i flere iOS-apper og markerer det første kjente tilfellet av skjermbilde-lesende skadevare i App Store. Den bruker OCR-teknologi fra Google til å skanne bilder og finne kryptolommebok-passord og gjenopprettingsfraser, som deretter sendes til hackerne.
Mørkemennene bruker altså skadelige apper i Google Play og App Store for å lure brukere til å gi tilgang til bildegalleriet sitt. Når en bruker åpner en infisert app og gir tillatelser, skanner programvaren bildene etter gjenopprettingsfraser til kryptolommebøker. Ved hjelp av tekstgjenkjenning (OCR) fra Google ML Kit finner den nøkkelord som kan gi hackerne tilgang til brukerens kryptovaluta.
Skadevaren aktiveres når brukeren åpner chat-støtte i en infisert app og gir tilgang til bildegalleriet. Kaspersky har funnet den i to AI-chatapper, WeTink og AnyGPT, samt matleveringsappen ComeCome, som fortsatt var tilgjengelig i App Store inntil nylig.
Annonse
Farlig elegant
Bildene som inneholder relevant informasjon, sendes deretter til en server, hvor angriperne kan misbruke dataene for å stjele midler. For å skjule sporene sine, bruker skadevaren avansert kryptering og skjulte servere, inkludert en Rust-basert protokoll. Dette er første gang en slik skadevare er oppdaget i Apples App Store, noe som viser at både Android og iOS er sårbare. For å beskytte seg bør brukere unngå å lagre skjermbilder av passord eller kryptofraser, slette mistenkelige apper og bruke sikkerhetsprogramvare.
De to nevner i rapporten at de oppdaget «en rekke apper i App Store som var infisert med et skadelig rammeverk. Vi kan ikke med sikkerhet fastslå om infeksjonen skyldtes et supply chain-angrep eller var en bevisst handling fra utviklerne. Noen av appene, som matleveringstjenester, virket legitime, mens andre tilsynelatende var laget for å lokke ofre. For eksempel fant vi flere lignende meldingsapper med AI-funksjoner fra samme utvikler.»
Dmitry Kalinin og Sergey Puzan:
Dessverre var ComeCome ikke den eneste appen vi fant med skadelig innhold. Vi oppdaget flere andre, ikke-relaterte apper innen ulike kategorier. Totalt hadde disse appene blitt lastet ned over 242 000 ganger på tidspunktet for denne rapporten, og noen av dem var fortsatt tilgjengelige på Google Play. En full oversikt finnes i Indicators of Compromise-seksjonen. Vi varslet Google om de infiserte appene i butikken deres.
