تسللت سلالة جديدة من برامج التجسس المتنقلة ، التي يطلق عليها اسم Sparkkitty ، إلى متجر تطبيقات Apple و Google Play ، حيث تم طرحها كتطبيقات مشفرة ومعدلة لاستخراج الصور من عبارات البذور وبيانات اعتماد المحفظة.
يبدو أن البرامج الضارة هي خليفة لـ Sparkcat ، وهي حملة تم اكتشافها لأول مرة في أوائل عام 2025 ، والتي استخدمت وحدات الدردشة المزيفة للوصول إلى معارض المستخدم وصمت لقطات شاشة حساسة.
قال باحثون في Kaspersky في منشور يوم الاثنين إن Sparkkitty يأخذ نفس الإستراتيجية عدة خطوات إلى أبعد من ذلك.
على عكس Sparkcat ، التي تنتشر في الغالب من خلال حزم Android غير الرسمية ، تم تأكيد Sparkkitty داخل العديد من تطبيقات iOS و Android المتاحة من خلال المتاجر الرسمية ، بما في ذلك تطبيق المراسلة مع ميزات تبادل التشفير (مع أكثر من 10،000 تثبيت على Google Play) وتطبيق iOS يسمى “coin” ، مخففة كمسار للمحافظة.
في صميم متغير iOS ، يوجد إصدار سلاح من إطار عمل AFNetworking أو Alamofire ، حيث قام المهاجمون بتضمين فئة مخصصة يتم تشغيلها تلقائيًا عند إطلاق APP باستخدام محدد Objective-C +Load.
عند بدء التشغيل ، يتحقق من قيمة التكوين الخفي ، ويحضر عنوان الأوامر والسيطرة (C2) ، ويقوم بمسح معرض المستخدم ويبدأ في تحميل الصور. يرشد عنوان C2 البرامج الضارة حول ما يجب القيام به ، مثل متى يسرق البيانات أو إرسال الملفات ، ويتلقى المعلومات المسروقة مرة أخرى.
يستخدم نظام Android مكتبات Java المعدلة لتحقيق نفس الهدف. يتم تطبيق OCR عبر مجموعة Google ML لتحليل الصور. إذا تم اكتشاف عبارة بذرة أو مفتاح خاص ، يتم وضع علامة على الملف وإرساله إلى خوادم المهاجم.
يتم التثبيت على iOS من خلال ملفات تعريف توفير المؤسسات ، أو طريقة مخصصة لتطبيقات المؤسسات الداخلية ولكن غالبًا ما يتم استغلالها للبرامج الضارة.
يتم خداع الضحايا في الثقة يدويًا بشهادة مطور مرتبطة بـ “Sinopec Sabic Tianjin Petrochemical Co. Ltd.” ، مع إعطاء أذونات على مستوى النظام.
تستخدم العديد من عناوين C2 ملفات التكوين المشفرة AES-256 المستضافة على الخوادم المفرطة.
بمجرد فك تشفيرها ، يشيرون إلى حمولة النافذات ونقاط النهاية ، مثل/api/putimages و/api/getimagestatus ، حيث يحدد التطبيق ما إذا كان سيتم تحميل أو تأخير عمليات نقل الصور.
اكتشف باحثو Kaspersky إصدارات أخرى من البرامج الضارة باستخدام مكتبة OpenSSL المكونة من محرك (libcrypto.dylib) مع منطق التهيئة المفرطة ، مما يشير إلى مجموعة أدوات متطورة وناقلات توزيع متعددة.
في حين يبدو أن معظم التطبيقات مستهدفة للمستخدمين في الصين وجنوب شرق آسيا ، لا شيء عن البرامج الضارة يحد من نطاقها الإقليمي.
حذر الباحثون من أن Apple و Google قد قاما بتسجيل التطبيقات المعنية بعد الإفصاح ، لكن من المحتمل أن تكون الحملة نشطة منذ أوائل عام 2024 وقد لا تزال مستمرة من خلال المتغيرات المحملة الجانبية ومتاجر الاستنساخ.
اقرأ المزيد: يستهدف المتسللون الكوريون الشماليون شركات التشفير الأعلى مع البرامج الضارة المخفية في تطبيقات الوظائف