Kaspersky Eggheads dice que han visto la primera aplicación que contiene spyware de reconocimiento de caracteres ópticos ocultos en la App Store de Apple. Ciertamente, el software Nasty está diseñado para robar la criptomoneda.
Los investigadores encontraron el malware en una aplicación iOS llamada Comecome, que también está disponible en la Play Store de Google, y afirma ofrecer servicios de entrega de alimentos. Según Dmitry Kalinin y Sergey Puzan de Kaspersky, la aplicación también entrega las llaves de las propiedades de criptografía de las víctimas a los ladrones.
La aplicación puede hacer eso como, Según los analistas de Kaspersky Esta semana, está «integrado con un SDK/marco malicioso» que en un momento no especificado descifra un complemento de reconocimiento de caracteres ópticos (OCR). Una vez que ese código OCR se está ejecutando, la aplicación busca capturas de pantalla en dispositivos móviles con la esperanza de que algunos incluyan frases de recuperación de billetera de criptomonedas, también conocido como frases de semillas, que el OCR extraerá y el spyware se exfiltrará.
Con esas frases de semillas robadas en la mano, los autores intelectuales de la aplicación pueden tomar el control de las billeteras de las víctimas y transferir fondos de ellas. Es por eso que su frase semilla debe mantenerse en secreto, fuera de línea y no como una imagen en su teléfono.
«Nuestra investigación reveló que los atacantes estaban apuntando a frases de recuperación de la billetera criptográfica, que fueron suficientes para obtener el control total sobre la billetera de criptografía de una víctima para robar los fondos», el equipo Kaspersky escribió.
«Desafortunadamente, a pesar de la detección rigurosa por parte de los mercados oficiales y la conciencia general de las estafas de robo de billeteras criptográficas basadas en OCR, las aplicaciones infectadas aún se abrieron camino en Google Play y la App Store», agregó el dúo, antes de observar que las aplicaciones pueden haber evasorado cheques Porque ofrecen «sin indicación de un implante malicioso oculto dentro de la aplicación» y pueden parecer inofensivos.
«Este caso una vez más rompe el mito de que iOS es de alguna manera impermeable a las amenazas planteadas por aplicaciones maliciosas», opinaron.
El dúo denominó el malware SparkCat de malware de semillas y señaló que «es lo suficientemente flexible como para robar no solo estas frases sino también otros datos confidenciales de la galería, como mensajes o contraseñas que podrían haberse capturado en capturas de pantalla».
El esfuerzo de robo de criptomonedas se dirige a los usuarios de Android e iOS de Android e iOS en Europa y Asia, dice el equipo Kaspersky. Se nos dice que más de una aplicación en la tienda Google Play contiene SparkCat, y se descargó más de 242,000 veces. Ni Google ni Apple respondieron a El registroSolicitudes de comentarios.
Los analistas no pueden confirmar si SparkCat fue deslizado a estas aplicaciones en un ataque de cadena de suministro o como un acto deliberado por los desarrolladores de las aplicaciones. Apple ha eliminado la aplicación maliciosa de la tienda iOS, dice Kaspersky. Observamos que también ha desaparecido de Google Play junto con otros nombrados por el laboratorio ruso.
SparkCat se refiere a un módulo altamente ofuscado llamado Spark dentro de las aplicaciones maliciosas. El spyware está escrito principalmente en Java y utiliza un protocolo no identificado implementado en Rust para comunicarse con su servidor remoto de comando y control (C2).
Después de conectarse a su servidor C2, la versión de Android de Spark descarga y usa un envoltorio para el Textrecognizer interfaz en la biblioteca del kit ML de Google para realizar la extracción de personajes de las imágenes. El malware carga diferentes modelos OCR dependiendo del lenguaje del sistema que reconoce los caracteres latinos, coreanos, chinos o japoneses en las imágenes.
Si una marca se involucra con el equipo de soporte de una aplicación envenenada, interacciones que hacen posible con la legítima Easemob HelpDesk SDK, el software solicita acceso a la galería de fotos del dispositivo. Si se otorga acceso, escanea las capturas de pantalla utilizando OCR para extraer frases de recuperación de la billetera criptográfica y las envía al servidor C2.
Por lo tanto, los desarrolladores de la aplicación esperan que los usuarios hagan dos cosas: otorgar acceso a la galería después de tomar capturas de pantalla de frases de recuperación. Lamentablemente, parece que hay suficientes usuarios que cometen esos errores para que el esfuerzo de crear estas aplicaciones valga la pena. ®
