Кроссплатформенные угрозы: вредоносное ПО для криптовалют

Источник: securelist.ru
В марте 2023 года исследователи из ESET выявили вредоносное ПО, встроенное в модификации популярных приложений для обмена сообщениями, предназначенных для платформ Android и Windows. По данным экспертов, вредоносные имплантаты использовали технологии оптического распознавания символов (OCR) для сканирования галерей устройств, что позволяло находить изображения, содержащие фразы восстановления для доступа к криптовалютным кошелькам.
Развитие ситуации: киберугроза SparkCat
К концу 2024 года появилась новая кампания, получившая название SparkCat, которая продолжила использовать аналогичные тактики и направила свои атаки на пользователей Android и iOS. Некоторые из вредоносных приложений были обнаружены в официальных магазинах приложений.
Технические детали вредоносного ПО
Главные черты SparkCat включали:
- Вредоносное ПО с использованием malicious SDK для извлечения фраз восстановления криптовалютных кошельков.
- Зараженные приложения для Android были загружены более 242 000 раз из Google Play.
- Библиотека Google ML Kit применялась для распознавания текста на изображениях.
- Вредоносное ПО для iOS использовало неопознанный протокол на Rust для взаимодействия с командным сервером (C2).
- Примером такой программы стало приложение для доставки еды ComeCome, установленное более 10 000 раз.
Механизмы работы
Например, в версии для Android вредоносное ПО использовало библиотеку libmodsvmp.so, замаскированную под Android-обфускатор, а для дальнейшего шифрования применялось AES-GCM-SIV. Вредоносная программа активно собирала конфиденциальные данные пользователей:
- Фразы восстановления криптовалютных кошельков
- Личные сообщения и пароли, хранящиеся в визуальных форматах
По словам экспертов, после выполнения своих задач вредоносная программа отправляла результаты обратно на сервер злоумышленников, используя протокол HTTPS. Это указывает на высокий уровень сложности и изощренности кода, что создает множество угроз для пользователей.
Подводя итоги: что это значит для пользователей?
Кампания SparkCat подчеркивает нарастающий риск от кроссплатформенных атак. Неизменной остается проблема распространения вредоносных приложений даже в рамках официальных магазинных платформ, что ставит под сомнение их безопасность. Пользователям настоятельно рекомендуется:
- Удалять все подозрительные приложения.
- Избегать хранения конфиденциальной информации в легкодоступных форматах.
- Использовать надежные решения безопасности для защиты от потенциальных взломов.
Таким образом, пользователям криптовалют стоит быть особенно бдительными и помнить о потенциальных угрозах, даже в окружающей их экосистеме приложений.
Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.
Ознакомиться подробнее с отчетом можно по ссылке.



