Ай-да-Троян для ай-ой-Фонов – такой сюрприз в яблочных плантациях.

Всем привет!

Давно у меня в новостях не было заметок из мира кибербезопасности. Пора бы и разбавить серию латиноамериканских рассказов — тем более есть чем!

И сегодня будет про хитрое вредоносное приложение, которое можно скачать ничтоже сумняшеся прямиком из официальных магазинов. Ну и времена пошли!

Итак, недавно в Google Play, App Store и на некоторых неофициальных площадках наши эксперты обнаружили новый мобильный троянец-стилер. Зловред, который окрестили SparkCat, распространялся в составе заражённых мессенджеров, ИИ-ассистента, а также в приложениях сервисов доставки еды, чтения новостей, утилитах для владельцев криптокошельков и проч. Самое примечательное: этот троян можно назвать частично-ИИ (искусственный интеллект), поскольку он использует нейросетку для кражи данных с фото в смартфонах на iOS и Android.

Основная цель мерзавца — красть данные криптокошельков. Для этого использовался модуль распознавания текста (OCR) на базе универсальной библиотеки машинного обучения Google ML Kit. Но с другими настройками зловред способен красть и другую ценную информацию.

Как так вышло, что в легитимных приложениях появилась троянская функциональность, мы можем только догадываться. Возможно, была совершена атака на цепочку поставок, а может, разработчики сами встраивали его в свои приложения.

Самое неприятное заключается в том, что этот вредонос пробрался в официальные магазины: только в Google Play зараженные приложения скачали почти 250 тысяч раз. И если Google Play уже не единожды грешил такими фокусами, то в App Store троян-стилер был обнаружен впервые.

Мы нашли 9 таких заражённых приложений в Google Play и 11 — в App Store, о чём мы, конечно же, уведомили Google и Apple. К счастью, их уже удалили (не-не, не в смысле «Аппсторы» удалили, а троянов оттуда снесли :).

Судя по всему, SparkCat нацелен на жертв в Европе, Азии и ОАЭ, но не исключено, что проблема может затронуть и другие регионы. Так что выдыхать рано. Ещё имеющиеся данные указывают, что атаки начались как минимум с марта 2024 года. Авторы этого вредоносного ПО, вероятно (мы полностью не уверены), свободно говорят на китайском языке. Кому интересны детали, о всех технических подробностях можно прочитать в нашем техническом исследовании.

Так что, к сожалению, классический совет «загружайте только приложения с высоким рейтингом из официальных магазинов приложений» давно уже не является панацеей. Поэтому критерии благонадежности стоит повысить: загружайте только приложения с высоким рейтингом, лучше с миллионами загрузок, опубликованные хотя бы несколько месяцев назад. Также проверяйте ссылки на приложения в официальных источниках (например, на сайтах разработчиков). Если вы не до конца уверены в надежности приложения — не стоит открывать доступ ко всем фото и видео в галерее. Ограничьтесь только теми фотографиями, которые вам нужно отправить. Хранить документы, пароли или банковские данные в галерее смартфона совсем не безопасно. И наконец, если вы нашли у себе одно из зараженных приложений (список можно посмотреть вот тут), удалите его и не используйте, пока не выйдет исправленная версия.

Да и вообще в наши непростые времена, грубо говоря, верить никому и никак нельзя!

В общем, будьте внимательны!

P.S. На прошлой неделе компания Valve удалила игру «PirateFi» со своей платформы Steam после того, как один из пользователей сообщил, что его защитный продукт не позволяет ему запустить игру из-за наличия вредоносного ПО // догадайтесь — какой продукт? :)

Браво! Аплодируем стоя!!! «Один из пользователей»… Ну, готовимся к очередному всплеску массовых кибер-злодейств на новых для них площадках. Мы же будем «кассандрить» по мере сил, да создавать технологии и продукты для отражения новых [для многих неожиданных] типов и векторов кибератак.

Всегда с вами, Е.К.