Galeri ponsel cerdas Anda mungkin berisi foto dan tangkapan layar informasi penting yang Anda simpan di sana untuk keselamatan atau kenyamanan, seperti dokumen, perjanjian bank, atau frasa benih untuk memulihkan dompet cryptocurrency. Semua data ini dapat dicuri oleh aplikasi jahat seperti pencuri Sparkcat yang kami temukan. Malware ini saat ini dikonfigurasi untuk mencuri data dompet crypto, tetapi dapat dengan mudah digunakan kembali untuk mencuri informasi berharga lainnya.
Bagian terburuknya adalah bahwa malware ini telah masuk ke toko aplikasi resmi, dengan hampir 250.000 unduhan aplikasi yang terinfeksi dari Google Play Alone. Meskipun Aplikasi berbahaya telah ditemukan di Google Play sebelumnyaini menandai pertama kalinya seorang pencuri Trojan terdeteksi di App Store. Bagaimana ancaman ini bekerja dan apa yang dapat Anda lakukan untuk melindungi diri sendiri?
Add-on berbahaya untuk aplikasi yang sah
Aplikasi yang mengandung komponen jahat Sparkcat terbagi dalam dua kategori. Beberapa, seperti banyak aplikasi messenger serupa yang mengklaim fungsionalitas AI, semua dari pengembang yang sama, dirancang dengan jelas sebagai umpan. Beberapa lainnya adalah aplikasi yang sah: layanan pengiriman makanan, pembaca berita, dan utilitas dompet crypto. Kami belum tahu bagaimana fungsi Trojan masuk ke aplikasi ini. Itu mungkin hasil dari a serangan rantai pasokandi mana komponen pihak ketiga yang digunakan dalam aplikasi terinfeksi. Atau, para pengembang mungkin sengaja menempelkan Trojan ke dalam aplikasi mereka.
Aplikasi pertama tempat kami mendeteksi Sparkcat adalah layanan pengiriman makanan yang disebut ComeCome, tersedia di UEA dan Indonesia. Aplikasi yang terinfeksi ditemukan di Google Play dan App Store
Pencuri menganalisis foto di galeri smartphone, dan untuk itu, semua aplikasi yang terinfeksi meminta izin untuk mengaksesnya. Dalam banyak kasus, permintaan ini tampaknya benar -benar sah – misalnya, aplikasi pengiriman makanan meminta akses untuk obrolan dukungan pelanggan tepat setelah membuka obrolan ini, yang tampak sangat alami. Aplikasi lain meminta akses galeri saat meluncurkan fungsi inti mereka, yang masih tampaknya tidak berbahaya. Lagi pula, Anda ingin dapat berbagi foto dalam messenger, bukan?
Namun, segera setelah pengguna memberikan akses ke foto tertentu atau seluruh galeri, malware mulai melewati semua foto yang dapat dicapai, mencari sesuatu yang berharga.
Pencurian bertenaga AI
Untuk menemukan data dada kripto di antara foto-foto kucing dan matahari terbenam, Trojan memiliki modul pengenalan karakter optik (OCR) bawaan berdasarkan kit Google ML-perpustakaan pembelajaran mesin universal.
Bergantung pada pengaturan bahasa perangkat, model unduhan Sparkcat yang dilatih untuk mendeteksi skrip yang relevan dalam foto, baik Latin, Korea, Cina, atau Jepang. Setelah mengenali teks dalam gambar, Trojan memeriksanya terhadap serangkaian aturan yang dimuat dari server perintah-dan-kontrolnya. Selain kata kunci dari daftar (misalnya, “mnemonic”), filter dapat dipicu oleh pola spesifik seperti kombinasi huruf yang tidak berarti dalam kode cadangan atau urutan kata tertentu dalam frasa benih.
Selama analisis kami, kami meminta daftar kata kunci yang digunakan untuk pencarian OCR dari server C2 Trojan. Penjahat dunia maya jelas tertarik pada frasa yang digunakan untuk memulihkan akses ke dompet kripto – yang dikenal sebagai mnemonik
Trojan mengunggah semua foto yang berisi teks yang berpotensi berharga ke server penyerang, bersama dengan informasi terperinci tentang teks yang dikenali dan perangkat gambar dicuri.
Skala dan korban serangan
Kami mengidentifikasi 10 aplikasi berbahaya di Google Play, dan 11 di App Store. Pada saat publikasi, semua aplikasi berbahaya telah dihapus dari toko. Jumlah total unduhan dari Google Play saja melebihi 242.000 pada saat analisis, dan data telemetri kami menunjukkan bahwa malware yang sama tersedia dari situs lain dan toko aplikasi tidak resmi juga.
Di antara aplikasi yang terinfeksi adalah layanan pengiriman populer dan utusan bertenaga AI di Google Play dan App Store
Dilihat oleh Kamus Sparkcat, “dilatih” untuk mencuri data dari pengguna di banyak negara Eropa dan Asia, dan bukti menunjukkan bahwa serangan telah berlangsung sejak setidaknya Maret 2024. Penulis malware ini cenderung fasih dalam bahasa Cina – lebih detail tentang ini , serta aspek teknis sparkcat, dapat ditemukan di Laporan Lengkap tentang Securelist.
Bagaimana Melindungi Diri Anda Dari OCR Trojans
Sayangnya, saran kuno dari “Hanya mengunduh aplikasi yang berperingkat tinggi dari toko aplikasi resmi” adalah peluru perak yang tidak lagi-bahkan toko aplikasi sekarang telah diinfiltrasi oleh infostealer sejati, dan insiden serupa memiliki terjadi berulang kali di Google Play. Oleh karena itu, kita perlu memperkuat kriteria di sini: hanya mengunduh aplikasi berperingkat tinggi dengan ribuan, atau lebih baik lagi, jutaan unduhan, diterbitkan setidaknya beberapa bulan yang lalu. Juga, verifikasi tautan aplikasi dalam sumber resmi (seperti situs web pengembang) untuk memastikan mereka tidak palsu, dan membaca ulasan – terutama yang negatif. Dan, tentu saja, pastikan untuk menginstal a Sistem Keamanan Komprehensif di semua smartphone dan komputer Anda.
Memeriksa ulasan negatif dari aplikasi ComeCome di App Store dapat membuat pengguna tidak mengunduhnya
Anda juga harus sangat berhati -hati tentang pemberian izin ke aplikasi baru. Sebelumnya, ini terutama menjadi perhatian untuk pengaturan “aksesibilitas”, tetapi sekarang kita melihat bahwa bahkan memberikan akses galeri dapat menyebabkan pencurian data pribadi. Jika Anda tidak sepenuhnya yakin tentang legitimasi aplikasi (misalnya, itu bukan messenger resmi, tetapi versi yang dimodifikasi), jangan memberikannya akses penuh ke semua foto dan video Anda. Hibah akses hanya ke foto tertentu bila perlu.
Menyimpan dokumen, kata sandi, data perbankan, atau foto frasa benih di galeri ponsel cerdas Anda sangat tidak aman- selain mencuri seperti Sparkcat, selalu ada risiko bahwa seseorang mengintip foto, atau Anda secara tidak sengaja mengunggahnya ke messenger atau file– Layanan Berbagi. Informasi tersebut harus disimpan dalam aplikasi khusus. Misalnya, Kaspersky Password Manager memungkinkan Anda untuk menyimpan dan menyinkronkan secara aman tidak hanya kata sandi dan token otentikasi dua faktor tetapi juga detail kartu perbankan dan dokumen yang dipindai di semua perangkat Anda-semuanya dalam bentuk terenkripsi. Ngomong -ngomong, aplikasi ini hadir dengan kami Kaspersky Plus Dan Kaspersky Premium Langganan.
Akhirnya, jika Anda sudah menginstal aplikasi yang terinfeksi (Daftar mereka tersedia di akhir posting securelist), hapus dan jangan gunakan sampai pengembang melepaskan versi tetap. Sementara itu, tinjau galeri foto Anda dengan cermat untuk menilai data apa yang mungkin diperoleh oleh penjahat cyber. Ubah kata sandi apa pun dan blokir kartu apa pun yang disimpan di galeri. Meskipun versi Sparkcat yang kami temukan perburuan untuk frasa benih secara khusus, ada kemungkinan bahwa Trojan dapat dikonfigurasi ulang untuk mencuri informasi lain. Adapun frasa biji dada kripto, begitu dibuat, mereka tidak dapat diubah. Buat dompet kripto baru, dan pindahkan semua dana Anda dari – dan kemudian tinggalkan sepenuhnya – yang dikompromikan.