Новый вариант троянца SparkCat снова обнаружен в App Store и Google Play
Спустя год после первого обнаружения и удаления из официальных магазинов, новый вариант троянца SparkCat снова найден в App Store и Google Play, как сообщили SecPost эксперты компании «Лаборатория Касперского». Вредоносная программа скрывается в легитимных на первый взгляд приложениях — корпоративных мессенджерах и сервисах доставки еды.
Как сообщили эксперты, обнаружено два заражённых приложения в App Store и одно в Google Play. Компания уведомила Google и Apple; из Google Play зловред уже удалён. При этом приложения со SparkCat также распространяются через сторонние ресурсы, некоторые из которых имитируют App Store при открытии с iPhone.
В «Лаборатории Касперского» отмечают, что на Android обновлённая версия троянца сканирует изображения в галерее на наличие ключевых слов на японском, корейском и китайском языках, что указывает на первичную нацеленность кампании на пользователей в Азии. Вариант для iOS ищет мнемонические фразы криптокошельков на английском языке, что потенциально расширяет географию атак.
Технические особенности, согласно сообщению, включают несколько уровней обфускации, виртуализацию кода и применение кроссплатформенных языков программирования. Троянец запрашивает доступ к галерее смартфона, анализирует текст на изображениях с помощью OCR и при обнаружении релевантных ключевых слов отправляет изображение злоумышленникам.
Продукты компании детектируют угрозу вердиктами: HEUR:Trojan.AndroidOS.SparkCat., HEUR:Trojan.IphoneOS.SparkCat..
В компании также рекомендуют пользователям не хранить в галерее скриншоты с конфиденциальной информацией, включая фразы восстановления доступа к криптокошелькам, использовать менеджеры паролей и по возможности не предоставлять приложениям полный доступ к галерее.
Читайте также
