تصل البرامج الضارة الجديدة SparkKitty إلى أكثر من 5,000 مستخدم للعملات المشفرة عبر تطبيقات Apple و Google

يستغل شكل جديد من برامج التجسس على الأجهزة المحمولة نقاط الضعف في كل من أنظمة مراجعة تطبيقات Apple و Google لاستهداف مستخدمي التشفير في جميع أنحاء جنوب شرق آسيا والصين.

تركز البرامج الضارة ، التي يطلق عليها اسم SparkKitty ، على سرقة لقطات شاشة لعبارات المحفظة المخزنة في معارض الهواتف المحمولة.

كشف باحثو الأمن السيبراني من Kaspersky أن برنامج التجسس قد تم تضمينه في تطبيقات تبدو شرعية ، بما في ذلك متتبعات محفظة العملات المشفرة والإصدارات المعدلة من التطبيقات الشائعة مثل TikTok.

كانت حملة البرامج الضارة ، التي تتبع نسبها إلى متغير سابق يعرف باسم SparkCat ، نشطة منذ أبريل 2024 على الأقل.

يعود تاريخ بعض عينات التطبيقات إلى أبعد من ذلك.

بمجرد التثبيت ، يستخدم SparkKitty أذونات خادعة وتقنية التعرف الضوئي على الأحرف (OCR) لتحديد ونقل الصور التي تحتوي على نص حساس مثل العبارات الأولية - وهو متجه هجوم له آثار خطيرة على أي شخص يقوم بتخزين عبارات الاسترداد الخاصة به على أجهزته.

تجاوزت تطبيقات التشفير المصابة أمان المتجر

يظهر تحليل Kaspersky أن SparkKitty نجحت في التسلل إلى متجر Google Play الرسمي ومتجر تطبيقات Apple.

تنكرت التطبيقات المتأثرة ، بما في ذلك Soex Wallet Tracker و Coin Wallet Pro ، في شكل أدوات تشفير تقدم تتبعا في الوقت الفعلي وإدارة المحافظ وخدمات المحفظة متعددة السلاسل.

في إحدى الحالات ، تم تنزيل Soex Wallet Tracker أكثر من 5,000 مرة قبل شطبه.

وبحسب ما ورد اكتسبت Coin Wallet Pro ، التي وضعت نفسها كمحفظة رقمية آمنة ، زخما من خلال إعلانات وسائل التواصل الاجتماعي وقنوات Telegram.

شجعت هذه القنوات المستخدمين على تنزيل التطبيق وتثبيت ملفات تعريف إضافية للمطورين - متجاوزة آليات مراجعة التطبيق العادية.

سمحت هذه الخطوة الإضافية للبرامج الضارة بالعمل خارج الحماية القياسية التي تقيد عادة الوصول إلى معارض الصور وبيانات النظام.

من خلال مطالبة المستخدمين أثناء أنشطة محددة مثل محادثات الدعم ، يمكن ل SparkKitty الوصول إلى تخزين الصور.

بمجرد منحها ، استخدمت التعرف الضوئي على الحروف لاستخراج أي عبارات أولية مرئية في لقطات الشاشة.

هذه العبارات ضرورية للوصول إلى محفظة العملات المشفرة واستعادتها ، ويمكن أن يؤدي فقدان السيطرة عليها إلى خسارة كاملة للأموال.

تهدف البرامج الضارة SparkKitty إلى سرقة البيانات المرئية

على عكس البرامج الضارة التقليدية التي تسعى للوصول المباشر إلى تطبيقات المحفظة أو المفاتيح الخاصة ، يشير تركيز SparkKitty على معارض الصور إلى تحول نحو استغلال عادات تخزين البيانات المرئية بين المستخدمين.

يقوم العديد من الأفراد ، وخاصة مستخدمي التشفير الجدد ، بحفظ لقطات شاشة لعبارات محفظتهم الأولية للراحة.

هذه الممارسة ، على الرغم من عدم تثبيطها من قبل معظم مزودي المحافظ ، لا تزال شائعة.

تستفيد SparkKitty من هذا السلوك عن طريق مسح آلاف الصور في الخلفية ، والبحث عن سلاسل من الكلمات التي تتطابق مع تنسيقات العبارات الأولية الشائعة.

بمجرد تحديدها ، يتم إرسالها مرة أخرى إلى الخوادم البعيدة التي يتحكم فيها المهاجمون.

يبدو أن نموذج التعرف المرئي للبرامج الضارة محسن لأطوال العبارات الأولية والتنسيقات التي تستخدمها المحافظ الشائعة مثل MetaMask و Trust Wallet و Phantom.

ذكرت كاسبرسكي أنه في حين أن الجزء الأكبر من الإصابات يتركز في جنوب شرق آسيا والصين ، فإن طريقة توزيع التطبيقات - عبر وسائل التواصل الاجتماعي ومتاجر التطبيقات - تجعلها قابلة للتطوير بدرجة كبيرة.

يمكن بسهولة إعادة توجيه الهجمات المماثلة إلى مناطق أخرى أو قواعد مستخدمين مع الحد الأدنى من التعديلات على قاعدة الشفرة.

تقوم Apple و Google بإزالة التطبيقات ومراجعة النظام تحت التدقيق

بعد تنبيه Kaspersky ، قامت Apple و Google بإزالة التطبيقات التي تم الإبلاغ عنها من منصاتهما.

ومع ذلك ، لا تزال هناك أسئلة حول كيفية تمكن هذه التطبيقات من اجتياز المراجعات الأولية.

يشير استخدام ملفات تعريف المطورين لتجاوز وضع الحماية للتطبيق إلى وجود ثغرة أمنية في هياكل أذونات نظام تشغيل الأجهزة المحمولة ، لا سيما في الحالات التي يقتنع فيها المستخدمون بمنح وصول واسع.

حذرت كاسبرسكي من أن الحملة قد تظل نشطة في أسواق التطبيقات الأقل تنظيما أو عبر تنزيلات APK المباشرة.

تراقب فرق الأمان أنماطا سلوكية مماثلة عبر التطبيقات الأحدث ، خاصة تلك المرتبطة بميزات التشفير فقط أو أدوات التمويل اللامركزي (DeFi).

كإجراء احترازي ، يتم حث المستخدمين على عدم حفظ العبارات الأولية في معارض الصور الخاصة بهم وتجنب تثبيت ملفات تعريف غير معروفة أو منح المعرض حق الوصول إلى التطبيقات غير الموثوق بها.

كما قام العديد من المؤثرين في مجال العملات المشفرة وحسابات الأمان على Twitter و Telegram بتوزيع تحذيرات بشأن الحادث.

يواصل فريق كاسبرسكي تتبع البنية التحتية لشبكة SparkKitty وشارك مؤشرات التسوية مع السلطات الإلكترونية ذات الصلة.