Кроссплатформенные угрозы: вредоносное ПО для криптовалют

Кроссплатформенные угрозы: вредоносное ПО для криптовалют

Источник: securelist.ru

В марте 2023 года исследователи из ESET выявили вредоносное ПО, встроенное в модификации популярных приложений для обмена сообщениями, предназначенных для платформ Android и Windows. По данным экспертов, вредоносные имплантаты использовали технологии оптического распознавания символов (OCR) для сканирования галерей устройств, что позволяло находить изображения, содержащие фразы восстановления для доступа к криптовалютным кошелькам.

Развитие ситуации: киберугроза SparkCat

К концу 2024 года появилась новая кампания, получившая название SparkCat, которая продолжила использовать аналогичные тактики и направила свои атаки на пользователей Android и iOS. Некоторые из вредоносных приложений были обнаружены в официальных магазинах приложений.

Технические детали вредоносного ПО

Главные черты SparkCat включали:

  • Вредоносное ПО с использованием malicious SDK для извлечения фраз восстановления криптовалютных кошельков.
  • Зараженные приложения для Android были загружены более 242 000 раз из Google Play.
  • Библиотека Google ML Kit применялась для распознавания текста на изображениях.
  • Вредоносное ПО для iOS использовало неопознанный протокол на Rust для взаимодействия с командным сервером (C2).
  • Примером такой программы стало приложение для доставки еды ComeCome, установленное более 10 000 раз.

Механизмы работы

Например, в версии для Android вредоносное ПО использовало библиотеку libmodsvmp.so, замаскированную под Android-обфускатор, а для дальнейшего шифрования применялось AES-GCM-SIV. Вредоносная программа активно собирала конфиденциальные данные пользователей:

  • Фразы восстановления криптовалютных кошельков
  • Личные сообщения и пароли, хранящиеся в визуальных форматах

По словам экспертов, после выполнения своих задач вредоносная программа отправляла результаты обратно на сервер злоумышленников, используя протокол HTTPS. Это указывает на высокий уровень сложности и изощренности кода, что создает множество угроз для пользователей.

Подводя итоги: что это значит для пользователей?

Кампания SparkCat подчеркивает нарастающий риск от кроссплатформенных атак. Неизменной остается проблема распространения вредоносных приложений даже в рамках официальных магазинных платформ, что ставит под сомнение их безопасность. Пользователям настоятельно рекомендуется:

  • Удалять все подозрительные приложения.
  • Избегать хранения конфиденциальной информации в легкодоступных форматах.
  • Использовать надежные решения безопасности для защиты от потенциальных взломов.

Таким образом, пользователям криптовалют стоит быть особенно бдительными и помнить о потенциальных угрозах, даже в окружающей их экосистеме приложений.

Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.

Ознакомиться подробнее с отчетом можно по ссылке.

Технологии киберугроз
Автор: Технологии киберугроз
Технологии киберугроз – технологическая компания, специализирующаяся на решениях по анализу угроз для предприятий любого размера. Мы собираем, нормализуем, обогащаем информацию о киберугрозах со всего мира. Нашими источниками являют более 260 открытых фидов, более 100 открытых поставщиков Threat Intelligence-отчетов, открытые online sandbox, социальные сети и репозитории GitHub. Мы также предоставляем ряд сервисов по: семантическом анализу Threat Intelligence-отчетов и приведения их в машиночитаемый формат STIX 2.1, проверки IoC на потенциальные ложноположительные сработки, а также получению WHOIS-записей для доменных имен.
Комментарии: