كاسبيرسكي تحذر المستخدمين من برنامج "SparkCat" الخبيث الذي يستهدف محفظة العملات المشفرة لمستخدمي أندرويد وIOS

تمكن باحثو كاسبرسكي من تحديد حملة برامج ضارة متعددة الأنظمة تُدعى "SparkCat"، تستهدف عبارات استرداد محفظة العملات المشفرة من خلال تضمين مجموعة أدوات تطوير برامج ضارة (SDK) داخل تطبيقات الهاتف المحمول المعدلة.

وبحسب التقرير، يقوم البرنامج الخبيث بفحص معرض صور المستخدمين بحثًا عن بيانات حساسة، وهي التقنية التي تم اكتشافها لأول مرة في مارس 2023.

في البداية، اكتشف خبراء الأمن السيبراني تطبيقات مراسلة ملوثة بالبرمجيات الخبيثة تستخرج رموزًا لمحافظ العملات المشفرة وتنقلها إلى خوادم بعيدة. في ذلك الوقت، كان الهجوم يقتصر على مستخدمي أندرويد وويندوز الذين يقومون بتنزيل التطبيقات من مصادر غير رسمية.

ومع ذلك، توسع نطاق حملة SparkCat، التي تم اكتشافها في أواخر عام 2024، حيث يدمج الإصدار الجديد مجموعة أدوات تطوير البرامج الضارة في التطبيقات المتاحة في الأسواق الرسمية وغير الرسمية لأجهزة Android وiOS.

بمجرد تنشيطه، يستخدم SparkCat أداة OCR الخاصة بـ Google ML Kit لمسح معرض الصور الخاص بالجهاز، ويبحث عن كلمات رئيسية محددة تتعلق بعبارات استرداد محفظة التشفير عبر لغات متعددة، بما في ذلك الإنجليزية والصينية والكورية واليابانية والعديد من اللغات الأوروبية.

بعد ذلك يقوم البرنامج الخبيث بتحميل الصورة إلى خادم يتحكم فيه المهاجم، إما عبر تخزين سحابي من Amazon أو بروتوكول قائم على Rust، مما يضيف طبقة إضافية من التعقيد في تتبع نشاطه بسبب عمليات نقل البيانات المشفرة وطرق الاتصال غير القياسية.

على نظام التشغيل IOS، يعمل SparkCat من خلال إطار عمل ضار مضمن في التطبيق المصاب، والذي يسمح للفيروس بإخفاء نفسه تحت أسماء مثل GZIP أو Googleappsdk أو stat.

يتكامل هذا الإطار، المكتوب بلغة Objective-C والمُشفَّر باستخدام HikariLLV، مع Google ML Kit لاستخراج النص من الصور الموجودة في المعرض.

ويبدو أن البرامج الضارة قادرة أيضًا على سرقة بيانات حساسة أخرى مثل محتوى الرسائل أو كلمات المرور التي يمكن أن تبقى في لقطات الشاشة.

تقدر شركة كاسبرسكي أن أكثر من 242 ألف جهاز في آسيا وأوروبا قد أصيبت بالفعل بالبرمجيات الخبيثة. وفي حين لا يزال المصدر الدقيق للبرمجيات الخبيثة غير معروف، فإن التعليقات المضمنة في التعليمات البرمجية ورسائل الخطأ تشير إلى أن مطوري البرمجيات الخبيثة يأتون من دولة ناطقة بالصينية.

ويحث الباحثون في شركة كاسبيرسكي المستخدمين على تجنب تخزين المعلومات المهمة مثل العبارات المختصرة والمفاتيح الخاصة وكلمات المرور داخل لقطات الشاشة.

تظل البرمجيات الخبيثة المتطورة تشكل تهديدًا مستمرًا في مجال التشفير، وهذه ليست المرة الأولى التي يتمكن فيها المجرمون السيئون من تجاوز إجراءات الأمان الخاصة بمتاجر Google وApple.