Niebezpieczne aplikacje w App Store: Nowe oprogramowanie szpiegujące z funkcją analizy zrzutów ekranu
Eksperci ds. cyberbezpieczeństwa z Kaspersky odkryli w App Store aplikacje z wbudowanym złośliwym oprogramowaniem o nazwie „SparkCat”, które może analizować zawartość zrzutów ekranu wykonanych przez użytkowników. To pierwszy przypadek wykrycia tego rodzaju zagrożenia w oficjalnym sklepie Apple, co stanowi poważne wyzwanie dla standardów bezpieczeństwa iOS.
Jak działa SparkCat?
Złośliwe oprogramowanie SparkCat wykorzystuje zaawansowaną technologię OCR (optyczne rozpoznawanie znaków) do identyfikacji zapisanych na zrzutach ekranu danych, takich jak frazy odzyskiwania portfeli kryptowalutowych. Aplikacje zawierające ten moduł potrafią skanować zdjęcia przechowywane przez użytkownika i przesyłać istotne informacje do serwera kontrolowanego przez cyberprzestępców.
Wykorzystując wtyczkę OCR opartą na bibliotece Google ML Kit, szkodliwe oprogramowanie jest w stanie rozpoznać i wydobyć tekst z obrazów. Jeśli na zrzucie ekranu zapisano ważne dane logowania do portfela kryptowalutowego, informacje te mogą zostać przesłane na serwery napastników, umożliwiając im kradzież Bitcoinów lub innych cyfrowych środków.
Jakie aplikacje zostały zainfekowane?
Badacze z Kaspersky odnaleźli w App Store kilka podejrzanych aplikacji, w tym ComeCome, WeTink oraz AnyGPT. Wciąż nie jest jasne, czy umieszczenie szkodliwego kodu było celowym działaniem deweloperów czy też efektem ataku na łańcuch dostaw oprogramowania. Co więcej, choć Apple dokładnie sprawdza każdą aplikację dodawaną do sklepu, to w tym przypadku złośliwe funkcje były ukryte w sposób skutecznie omijający standardowe mechanizmy wykrywania zagrożeń.
Po pobraniu jednej z tych aplikacji, użytkownik proszony jest o udzielenie dostępu do swojej biblioteki zdjęć. To właśnie w tym momencie pojawia się największe zagrożenie – po uzyskaniu zgody app może przeglądać zdjęcia i wyszukiwać w nich potencjalnie istotne dane. Z przeprowadzonych analiz wynika, że zainfekowane aplikacje są szczególnie popularne w Europie i Azji.
Szerzące się zagrożenie również na Androidzie
SparkCat nie jest jedynie problemem dla systemu iOS – podobne oprogramowanie zaobserwowano również na Androidzie i komputerach PC. To dowodzi, że cyberprzestępcy rozwijają coraz bardziej zaawansowane metody ataku, które działają niezależnie od systemu operacyjnego.
Choć w tym przypadku głównym celem były portfele kryptowalutowe, malware może być stosowany także do pozyskiwania innych danych zapisanych na zrzutach ekranu, takich jak hasła czy kody zabezpieczające. Użytkownicy iPhone’ów często zakładają, że ich urządzenia są odporne na zagrożenia związane ze złośliwym oprogramowaniem, dlatego fakt wykrycia SparkCat w oficjalnym App Store jest szczególnie niepokojący.
Jak się chronić przed takim zagrożeniem?
Eksperci ds. cyberbezpieczeństwa zalecają kilka środków ostrożności, które mogą pomóc uniknąć tego rodzaju ataku:
– Nie przechowuj w galerii zrzutów ekranu zawierających poufne dane, takie jak frazy odzyskiwania portfeli kryptowalutowych czy hasła.
– Bądź ostrożny wobec aplikacji proszących o szeroki dostęp do zdjęć – jeżeli nie jest to konieczne, odmawiaj przyznania uprawnień.
– Pobieraj aplikacje tylko od zaufanych deweloperów, sprawdzając recenzje i źródło pochodzenia oprogramowania.
– Regularnie aktualizuj swoje urządzenia oraz aplikacje, aby minimalizować ryzyko wykorzystania luk w zabezpieczeniach.
Apple powinno podjąć natychmiastowe działania, aby lepiej chronić użytkowników przed tego typu zagrożeniami. Choć wstępne testy przeprowadzane przy dodawaniu aplikacji do App Store są rygorystyczne, obecność SparkCat wskazuje na potencjalne luki w systemie kontroli.
Pełną listę frameworków i aplikacji, które mogą zawierać zainfekowany kod, można znaleźć na stronie Kaspersky, gdzie opublikowano także dodatkowe informacje na temat tego złośliwego oprogramowania.
