В галерее вашего смартфона почти наверняка найдется важная информация, сфотографированная для надежности и удобства — например, фото документов, банковских договоров или сид-фраз, позволяющих восстановить доступ к криптокошелькам. Все эти данные могут быть украдены вредоносным приложением, подобным обнаруженному нами стилеру SparkCat. В текущей конфигурации этот зловред обучен красть данные криптокошельков, но с другими настройками он может мгновенно перейти к краже любой другой ценной информации.
Самое неприятное — этот зловред пробрался в официальные магазины приложений, и только из Google Play зараженные им аппы суммарно загрузили почти 250 тысяч раз. И если в Google Play вредоносные приложения не единожды обнаруживались и до этого, то в App Store троян-стилер обнаружен впервые. Как же устроена эта угроза и что сделать для защиты?
Оглавление
Довесок к легитимным приложениям
Приложения, содержащие вредоносные компоненты SparkCat, делятся на две группы. Некоторые из них — например, многочисленные схожие мессенджеры с заявленными функциями ИИ от одного и того же разработчика — очевидно, опубликованы сугубо как приманка. Но есть и другие — легитимные приложения сервисов доставки еды, чтения новостей, утилиты для владельцев криптокошельков. Как в них появилась троянская функциональность, мы не знаем. Возможно, это была атака на цепочку поставок, при которой был заражен один из вспомогательных компонентов — «кирпичиков», из которых собрано готовое приложение, или же разработчики намеренно встраивали трояна в свои приложения.
Первое приложение, в котором мы обнаружили SparkCat — это сервис для доставки еды в ОАЭ и Индонезии под названием ComeCome. Зараженное приложение было обнаружено как в Google Play, так и в App Store
Стилер анализирует фотографии в галерее смартфона, и для этого все зараженные приложения запрашивают у пользователя разрешение на доступ к ней. Во многих случаях этот запрос сопровождается вполне убедительным обоснованием. Например, приложение по доставке еды ComeCome запрашивало доступ для чата со службой поддержки, причем как раз при открытии этого чата, что выглядело максимально естественно. Другие приложения запрашивали доступ к галерее при запуске основной функциональности приложения, но это все равно выглядело безобидно — вы же хотите иметь возможность, например, поделиться фото в мессенджере?
Но стоило пользователю согласиться и предоставить доступ к отдельным фото или галерее в целом, зловред начинал перебор всех доступных ему фото в поисках чего-то ценного.
ИИ не во благо
Чтобы найти в галерее данные о криптокошельках среди фотографий закатов и котиков, в трояна встроили модуль распознавания текста (OCR), сделанный на базе Google ML Kit, универсальной библиотеки машинного обучения.
В зависимости от языка, установленного в ОС смартфона, SparkCat загружает модели, обученные находить и распознавать на фото символы латиницы, а также корейского, китайского и японского языков. Распознав текст на изображении, троян проверяет его по целому набору правил, которые загружаются с командного сервера. Кроме ключевых слов из списка (например, Mnemonic), фильтр может сработать, например, на определенные паттерны — для поиска бессмысленных буквосочетаний в резервных кодах или диапазона слов в сид-фразах.
В процессе анализа мы запросили список ключевых слов для OCR-поиска с командных серверов трояна. Видно, что злоумышленников интересуют фразы для восстановления доступа к криптокошелькам, известные как мнемоники
Все фото, на которых были распознаны потенциально интересные тексты, троян загружает на серверы злоумышленников, снабжая их детальной информацией о распознанном тексте и об устройстве, с которого украдено фото.
Масштаб и жертвы атаки
Нам удалось обнаружить 10 вредоносных приложений в Google Play и 11 — в App Store. На момент публикации все вредоносные приложения из App Store (но не из Google Play) были удалены. Общее число загрузок этого зловреда только из Google Play на момент анализа составило более 242 000 раз, и, по данным нашей телеметрии, то же вредоносное ПО можно было загрузить с других сайтов и из неофициальных магазинов приложений.
Среди зараженных приложений — популярные сервисы доставки и мессенджеры с ИИ как в Google Play, так и в App Store
Судя по словарям, которыми снабжен SparkCat, он обучен воровать данные у пользователей многих европейских и азиатских стран, а имеющиеся данные указывают, что атаки проводятся как минимум с марта 2024 года. Авторы этого вредоносного ПО, вероятно, свободно говорят на китайском языке — подробнее об этом и о технических аспектах работы SparkCat можно прочитать в полной версии исследования на Securelist.
Как защититься от OCR-троянов
К сожалению, классический совет «загружайте только приложения с высоким рейтингом из официальных магазинов приложений» уже не является панацеей — даже в App Store пробрался настоящий инфостилер, а в Google Play такие случаи уже встречались неоднократно. Поэтому критерии благонадежности стоит повысить: загружайте только приложения с высоким рейтингом, с тысячами, а лучше — с миллионами загрузок, опубликованные хотя бы несколько месяцев назад. Также проверяйте ссылки на приложения в официальных источниках (например, на сайтах разработчиков) — так вы убедитесь, что это не очередная подделка — и читайте отзывы, особенно негативные. И разумеется, обязательно установите полноценную систему защиты на все смартфоны и компьютеры.
Изучение негативных отзывов на приложение ComeCome в App Store помогло бы уберечься от его установки
К выдаче разрешений новым приложениям тоже надо подходить предельно внимательно. И если раньше это касалось в первую очередь «специальных возможностей», то теперь мы видим, что даже доступ к галерее смартфона может привезти к краже ваших персональных данных. Если вы не до конца уверены в надежности приложения (например, это не официальный клиент мессенджера, а его мод) — не стоит открывать доступ ко всем фото и видео в галерее. Ограничьтесь только теми фотографиями, которые вам нужно отправить.
Хранить документы, пароли, банковские данные или фото сид-фраз в галерее смартфона совсем не безопасно. Кроме проблем со стилерами наподобие SparkCat, всегда есть риск, что фото увидят посторонние или вы случайно загрузите его в мессенджер или файлообменник. Нужно хранить такую информацию в специализированном приложении. Например, Kaspersky Password Manager позволяет хранить и синхронизировать между всеми вашими смартфонами и компьютерами не только пароли и токены двухфакторной аутентификации, но и данные банковских карт, а также сканы документов — и все это в зашифрованном виде. Кстати, это приложение входит в подписки Kaspersky Plus и Kaspersky Premium.
Наконец, если у вас уже установлено одно из зараженных приложений (список опубликован в конце поста на Securelist), удалите его и не пользуйтесь, пока производитель не сообщит о выходе исправленной версии. При этом стоит внимательно изучить свою галерею фото, чтобы оценить, какие данные могли попасть к злоумышленникам. Сфотографированные пароли лучше сменить, карты — заблокировать и перевыпустить: хотя обнаруженная нами версия SparkCat охотится только за сид-фразами, не исключено, что в иных конфигурациях троян ворует и другую информацию. Что касается сид-фраз для криптокошельков, то изменить их после создания нельзя, поэтому нужно создать новый криптокошелек, перевести на него все деньги со старого, после чего прекратить пользоваться старым кошельком.
Блог Касперского