Опасный троян SparkCat обошел запрет и снова пробрался в App Store и Google Play
Фото: freepik
Троянская программа SparkCat, печально известная своей способностью красть конфиденциальные данные, вновь появилась в официальных магазинах приложений. Лаборатория Касперского выявила новую версию этого вредоносного ПО в Google Play и App Store спустя примерно год после предыдущего инцидента. Злоумышленники маскируют троян под легальные приложения, включая корпоративные мессенджеры и сервисы доставки еды, используя тактику, при которой пользователи самостоятельно устанавливают зараженные программы.
Основная цель трояна SparkCat заключается в несанкционированном доступе к фотографиям в галереях мобильных устройств. Вирус запрашивает разрешение на просмотр изображений и применяет технологию оптического распознавания символов (OCR) для анализа текста на них. Особое внимание уделяется фразам, связанным с восстановлением доступа к криптокошелькам. Если на изображении обнаружены такие данные, они передаются злоумышленникам.
В App Store было обнаружено два зараженных приложения, тогда как в Google Play — одно. Компании Apple и Google оперативно отреагировали на угрозу, удалив вредоносное ПО из Google Play. Однако проблема не ограничивается только официальными магазинами: троян также распространяется через сторонние веб-сайты.
Обновленные версии SparkCat демонстрируют различные подходы на разных платформах. Версия для Android ищет ключевые слова на японском, корейском и китайском языках, ориентируясь на пользователей из азиатского региона. В то же время версия для iOS фокусируется на мнемонических фразах, связанных с криптокошельками, на английском языке, что расширяет географию потенциальных жертв.
С технической точки зрения новая модификация стала более сложной. Версия для Android включает многоуровневую обфускацию, используя виртуализацию кода и кроссплатформенные языки программирования, что существенно затрудняет его обнаружение и анализ.
Сергей Пузан, эксперт по кибербезопасности, отмечает, что новая версия SparkCat имеет много общего с предыдущей, что может свидетельствовать о том, что за разработкой стоят те же лица. Его коллега Дмитрий Калинин добавляет, что троян продолжает эволюционировать, совершенствуя методы обхода защитных механизмов официальных магазинов приложений.
