Kaspersky Eggheadsは、AppleのApp Storeに隠された光学文字認識スパイウェアを含む最初のアプリを見つけたと言います。 unningって、ソフトウェアの厄介なものは、暗号通貨を盗むように設計されています。
研究者たちは、ComeComeと呼ばれるiOSアプリでマルウェアを発見しました。これはGoogleのPlay Storeからも入手でき、食品配達サービスを提供すると主張しています。 KasperskyのDmitry KalininとSergey Puzanによると、このアプリケーションは犠牲者の暗号保有策に鍵を詐欺師に提供しています。
アプリはそれをすることができます、 Kasperskyのアナリストによると 今週、不特定の瞬間に光学文字認識(OCR)プラグインを復号化するのは「悪意のあるSDK/フレームワークが埋め込まれています」。そのOCRコードが実行されると、アプリは、暗号通貨ウォレットリカバリフレーズ、つまりシードフレーズ、OCRが抽出され、スパイウェアが抽出されることを期待して、モバイルデバイスのスクリーンショットを探します。
盗まれた種子のフレーズを手にすると、アプリの首謀者は被害者の財布を制御し、資金を転送することができます。そのため、シードフレーズは、携帯電話の画像としてではなく、オフラインで秘密に保つ必要があります。
「私たちの調査により、攻撃者は暗号ウォレットの回復フレーズを標的にしていることが明らかになりました。 書いた。
「残念ながら、公式市場による厳格なスクリーニングとOCRベースのCrypto Wallet盗難詐欺の一般的な認識にもかかわらず、感染したアプリはまだGoogle PlayとApp Storeに進出しました」なぜなら、彼らは「アプリ内に隠された悪意のあるインプラントの兆候がない」と無害に見えるかもしれないからです。
「この事件は、iOSが悪意のあるアプリによってもたらされる脅威に何らかの形で不浸透性であるという神話を再び打ち砕く」と彼らは意見した。
デュオは、シードを吸うマルウェアSparkcatと呼ばれ、「これらのフレーズだけでなく、スクリーンショットでキャプチャされたかもしれないメッセージやパスワードなど、ギャラリーからの他の機密データも盗むのに十分な柔軟性がある」と述べました。
Cryptocurrency-Stealingの取り組みは、ヨーロッパとアジアの「少なくとも」AndroidおよびiOSユーザーをターゲットにしています、とTeam Kaspersky氏は言います。 Google Playストアの複数のアプリにはSparkcatが含まれていると言われており、これらは242,000回以上ダウンロードされました。 GoogleもAppleも応答しませんでした レジスタコメントのリクエスト。
アナリストは、Sparkcatがサプライチェーン攻撃でこれらのアプリケーションに滑り込んだか、アプリの開発者による意図的な行為として確認したかどうかを確認できません。 Appleは、iOSストアから悪意のあるComeComeアプリケーションを削除しました、とKasperskyは言います。また、ロシアの研究室で名付けられた他の人と一緒にGoogle Playから姿を消したことにも注意してください。
SparkCatとは、悪意のあるアプリ内のSparkと呼ばれる高度に難読化されたモジュールを指します。スパイウェアは主にJavaで記述されており、RUSTに実装された未確認のプロトコルを使用して、リモートコマンドアンドコントロール(C2)サーバーと通信します。
C2サーバーに接続した後、SparkダウンロードのAndroidバージョンはTextreCognizerのラッパーを使用します インタフェース GoogleのMLキットライブラリで、画像からのキャラクター抽出を実行します。マルウェアは、写真にラテン語、韓国語、中国語、または日本のキャラクターを認識するシステム言語に応じて、異なるOCRモデルをロードします。
MarkがPoisoned Appのサポートチームに関与している場合 – 合法的なサードパーティEasemob Helpdesk SDKとの対話が可能になった場合、ソフトウェアはデバイスのフォトギャラリーへのアクセスを要求します。アクセスが許可されている場合、OCRを使用してスクリーンショットをスキャンして、Crypto Wallet Recoveryフレーズを抽出し、C2サーバーに送信します。
したがって、アプリの開発者は、ユーザーが2つのことを行うことを望んでいます。回復フレーズのスクリーンショットを撮った後、ギャラリーへのアクセスを付与します。悲しいことに、これらのアプリを作成する努力をするためにそれらの間違いを犯す十分なユーザーがいるようです。 ®
