Σε κίνδυνο οι χρήστες iPhone και Android: Εφαρμογές σε Play Store και Apple Store έχουν μολυνθεί με «κακόβουλο» κώδικα – Τι είναι το SparkCat

Μια ανησυχητική νέα προειδοποίηση για χρήστες iPhone και Android έχει εκδοθεί, καθώς μια εταιρεία κυβερνοασφάλειας αποκάλυψε ότι εφαρμογές τόσο στο Google Play Store όσο και στο Apple App Store έχουν μολυνθεί με «κακόβουλο» κώδικα που επιτρέπει στους επιτιθέμενους να αδειάζουν τα κρυπτονομίσματα των χρηστών.

iPhone – Android: Η απειλή SparkCat

Αυτή είναι μια ακόμη περίπτωση κατεργασμένων SDK που διαφθείρουν γνήσιες εφαρμογές, εισχωρώντας στις συσκευές των χρηστών. Η Kaspersky αναφέρει ότι οι «μολυσμένες εφαρμογές έχουν κατεβεί περισσότερες από 242.000 φορές από το Google Play. Αυτή είναι η πρώτη γνωστή περίπτωση ενός τέτοιου κώδικα να εισέλθει στο App Store».

Πώς λειτουργεί ο κακόβουλος κώδικας

Ο κακόβουλος κώδικας λειτουργεί χρησιμοποιώντας OCR (Οπτική Αναγνώριση Χαρακτήρων) για να σαρώσει τη γκαλερί εικόνας της συσκευής για πιθανές λέξεις και φράσεις σε πολλές γλώσσες που μπορεί να είναι μυστικοί κωδικοί για την πρόσβαση ή την ανάκτηση πορτοφολιών στην συσκευή.

Αυτό, σύμφωνα με την Kaspersky, είναι μια εξέλιξη της επίθεσης που αναφέρθηκε από την ESET το 2023, όπου πολλές εφαρμογές αντιγράφων του Telegram και του WhatsApp χρησιμοποίησαν κλέφτες για να κλέψουν περιεχόμενο από το πρόχειρο για να αποκτήσουν πρόσβαση σε πορτοφόλια.

Η νέα εξέλιξη

Η Kaspersky αναφέρει ότι «κατάφερε να καθορίσει την κίνητρο των επιτιθέμενων – οι επιτιθέμενοι κλέβουν φράσεις για να αποκαταστήσουν την πρόσβαση σε κρυπτονομικά πορτοφόλια, που είναι αρκετές για να αποκτήσουν πλήρη έλεγχο πάνω στο πορτοφόλι του θύματος για περαιτέρω κλοπή χρημάτων».

Οι ερευνητές ανακάλυψαν τη νέα επίθεση στα τέλη του 2024, αλλά κάποιοι από τους κώδικες είχαν αναπτυχθεί πολύ νωρίτερα.

Εντοπισμός και εφαρμογές

Η Kaspersky αναφέρει ότι «ο κακόβουλος κώδικας που ονομάσαμε SparkCat χρησιμοποίησε ένα μη αναγνωρισμένο πρωτόκολλο που υλοποιήθηκε στη γλώσσα Rust, που είναι σπάνια για κινητές εφαρμογές, για να αλληλεπιδράσει με C2».

Η απειλή είναι διεθνής, με την πρώτη εφαρμογή που φάνηκε ύποπτη να είναι μια εφαρμογή για παράδοση φαγητού στα ΗΑΕ και την Ινδονησία που ονομάζεται ComeCome.

Ποιες εφαρμογές είναι μολυσμένες

Οι μολυσμένες εφαρμογές μπορούν να βρεθούν στην αναφορά της Kaspersky, και όλες πιθανότατα θα διορθωθούν τώρα που έχουν δημοσιευθεί αυτά τα ευρήματα. Οι ονομασίες πακέτων των μολυσμένων εφαρμογών Android περιλαμβάνουν:

• com.crownplay.vanity.address
• com.atvnewsonline.app
• com.bintiger.mall.android
• com.websea.exchange
• org.safew.messenger
• org.safew.messenger.store
• com.tonghui.paybank
• com.bs.feifubao
• com.sapp.chatai
• com.sapp.starcoin
• im.pop.app.iOS.Messenger
• com.hkatv.ios
• com.atvnewsonline.app
• io.zorixchange
• com.yykc.vpnjsq
• com.llyy.au
• com.star.har91vnlive
• com.jhgj.jinhulalaab
• com.qingwa.qingwa888lalaaa
• com.blockchain.uttool
• com.wukongwaimai.client
• com.unicornsoft.unicornhttpsforios
• staffs.mil.CoinPark
• com.lc.btdj
• com.baijia.waimai
• com.ctc.jirepaidui
• com.ai.gbet
• app.nicegram
• com.blockchain.ogiut
• com.blockchain.98ut
• com.dream.towncn
• com.mjb.hardwood.Test
• com.galaxy666888.ios
• njiujiu.vpntest
• com.qqt.jykj
• com.ai.sport
• com.feidu.pay
• app.ikun277.test
• com.usdtone.usdtoneApp2
• com.cgapp2.wallet0
• com.bbydqb
• com.yz.Byteswap.native
• jiujiu.vpntest
• com.wetink.chat
• com.websea.exchange
• com.customize.authenticator
• im.token.app
• com.mjb.WorldMiner.new
• com.kh-super.ios.superapp
• com.thedgptai.event
• com.yz.Eternal.new
• xyz.starohm.chat
• com.crownplay.luckyaddress1

Τι πρέπει να κάνετε

Αν έχετε οποιαδήποτε από αυτές τις εφαρμογές, διαγράψτε τις και επανεγκαταστήστε τις όταν ενημερωθούν – σίγουρα μην τις χρησιμοποιείτε.

«Ο Trojan είναι ιδιαίτερα επικίνδυνος γιατί τίποτα δεν αποκαλύπτει μια κακόβουλη εμφύτευση μέσα στην εφαρμογή», προειδοποιεί η Kaspersky.