سلالة جديدة من برامج التجسس على الهواتف المحمولة تستهدف مستخدمي العملات المشفرة من خلال سرقة لقطات شاشة من عبارات البذور الخاصة بمحافظهم، مع تمكن بعض التطبيقات المصابة من تجاوز دفاعات متجر Apple وGoogle.
كشفت كاسبرسكي عن سلالة جديدة من برمجيات خبيثة تستهدف الهواتف المحمولة، تستهدف لقطات شاشة لعبارات رئيسية من معارض صور هواتف مستخدمي العملات المشفرة. انتشر هذا البرنامج الخبيث عبر تطبيقات أندرويد وiOS، ووصل بعضها إلى متاجر التطبيقات الرسمية، بما في ذلك جوجل بلاي ومتجر تطبيقات آبل.
يبدو أن البرنامج الخبيث الجديد، المسمى SparkKitty، يستهدف بشكل أساسي المستخدمين في جنوب شرق آسيا والصين، وهو نسخة مشابهة من SparkCat، وهي حملة برمجيات خبيثة سابقة اكتُشفت في يناير. ومثل SparkCat، يركز هذا النوع الجديد على سرقة الصور التي تحتوي على معلومات حساسة.
يُخبأ البرنامج الخبيث داخل تطبيقات تبدو شرعية، بما في ذلك تعديلات تيك توك، ومتتبعات العملات المشفرة، وألعاب القمار، وتطبيقات المحتوى للبالغين. تخدع هذه التطبيقات المستخدمين لتثبيت ملف تعريف خاص بالمطور، مما يسمح للبرنامج الخبيث بالعمل خارج نطاق حماية مراجعة التطبيقات المعتادة في الهاتف.
بعد تثبيت البرنامج الخبيث، ينتظر حتى يفتح المستخدم شاشات محددة (مثل محادثات الدعم الفني)، ثم يطلب الوصول إلى معرض الصور. في حال الموافقة، يمسح البرنامج الصور بهدوء باستخدام خاصية التعرف الضوئي على الحروف لتحديد وسرقة لقطات الشاشة التي تحتوي على نصوص.
كانت العديد من التطبيقات المزيفة تحتوي على موضوعات تشفير قوية، وتضمن العديد منها متاجر تشفير فقط، مما يشير إلى أن جمع العبارات الأولية كان الهدف.
على سبيل المثال، كان تطبيقان مُشار إليهما في التقارير هما Soex Wallet Tracker وCoin Wallet Pro. وقد تم تنزيل Soex، الذي تظاهر بأنه مدير محفظة استثمارية مزود بميزات تتبع آنية، أكثر من 5000 مرة من متجر Google Play قبل سحبه.
ظهرت Coin Wallet Pro، التي تسوق نفسها كمحفظة آمنة متعددة السلاسل، لفترة وجيزة على App Store، واكتسبت قوة دفع من خلال إعلانات وسائل التواصل الاجتماعي والعروض الترويجية على Telegram قبل إزالتها.
أبلغت كاسبرسكي كلاً من آبل وجوجل، وأُزيلت التطبيقات المتأثرة من متجريهما منذ ذلك الحين. وأوضح الباحثون أن الحملة مستمرة منذ أبريل 2024 على الأقل، وبعض العينات تعود إلى ما قبل ذلك.
