Скачал приложение для доставки суши, а оно шарит в галерее в поисках криптофраз. Новая версия SparkCat не дремлет

«Лаборатория Касперского» обнаружила новую версию троянца SparkCat в App Store и Google Play. Вредоносная программа маскируется под легитимные приложения - корпоративные мессенджеры и сервисы доставки еды - и сканирует фотогалерею пользователя в поисках мнемонических фраз для доступа к криптокошелькам.

Специалисты компании выявили два заражённых приложения в App Store и одно в Google Play. О находке сообщили в Apple и Google; из Google Play приложение уже удалено. Помимо официальных магазинов, SparkCat распространяется через сторонние сайты, часть которых имитирует интерфейс App Store при открытии с iPhone.

Версия для Android сканирует изображения в галерее на ключевые слова на японском, корейском и китайском языках, что указывает на прицел преимущественно на азиатскую аудиторию. Версия для iOS ищет мнемонические фразы криптокошельков на английском языке, расширяя потенциальный охват до пользователей по всему миру. Обнаружив совпадение, троянец отправляет изображение злоумышленникам.

По данным «Лаборатории Касперского», обновлённая версия SparkCat для Android стала значительно сложнее предыдущей: в ней применяется многоуровневая обфускация, виртуализация кода и кроссплатформенные языки программирования. Такие техники редко встречаются в мобильных зловредах и свидетельствуют о высоком уровне подготовки разработчиков. Сходство с первой версией позволяет исследователям предположить, что за обеими стоит одна и та же группа.

Эксперты компании призвали внимательно контролировать разрешения, которые пользователи выдают приложениям, даже загруженным из официальных магазинов, и использовать защитные решения на устройствах.