Според доклад на Kaspersky в подозрителни приложения за App Store за първи път е открит зловреден софтуер, който включва код за четене на съдържанието на скрийншоти.

Наречен SparkCat, зловредният софтуер включва OCR възможности за откриване на чувствителна информация, която потребителят на iPhone е направил на екран. Откритите от Kaspersky приложения имат за цел да откриват фрази за възстановяване на криптопортфейли, което би позволило на нападателите да откраднат биткойн и друга криптовалута.

Приложенията включват злонамерен модул, който използва OCR плъгин, създаден с библиотеката ML Kit на Google, за да разпознава текст, намерен в изображенията на iPhone. Когато се открие съответното изображение на криптопортфейл, то се изпраща на сървър, до който има достъп нападателят.

Според Kaspersky SparkCat е активен от около март 2024 г. насам. Подобен зловреден софтуер е открит през 2023 г., който е бил насочен към устройства с Android и персонални компютри, но сега се е разпространил и в iOS. Kaspersky открива няколко приложения за App Store с OCR шпионски софтуер, включително ComeCome, WeTink и AnyGPT, но не е ясно дали заразяването е „умишлено действие на разработчиците“, или е „резултат от атака по веригата на доставки“.

Заразените приложения искат разрешение за достъп до снимките на потребителя, след като бъдат изтеглени, и ако получат разрешение, използват функцията OCR, за да сортират изображенията в търсене на подходящ текст. Няколко от приложенията все още са в App Store и изглежда са насочени към потребителите на iOS в Европа и Азия.

Макар че приложенията са насочени към кражба на криптографска информация, Kaspersky казва, че зловредният софтуер е достатъчно гъвкав, за да може да се използва и за достъп до други данни, заснети в снимки на екрана, като например пароли. Засегнати са и приложения за Android, включително приложения от Google Play Store, но потребителите на iOS често очакват устройствата им да са устойчиви на зловреден софтуер.

Apple проверява всяко приложение в App Store и злонамереното приложение означава провал в процеса на преглед на приложенията на Apple. В този случай не изглежда да има очевидни признаци за наличие на троянски кон в приложението, а разрешенията, които то иска, изглежда са необходими за основната му функционалност.

Kaspersky предлага на потребителите да избягват съхраняването на скрийншоти с чувствителна информация, като например фази за възстановяване на крипто портфейли, в своята Photo Library, за да се предпазят от този вид атаки.

Снимка: Unsplash

Виж още: Мускул на ухото, който смятахме, че не се използва, се активира по време на съсредоточено слушане