Эксперты «Лаборатории Касперского» обнаружили новый вариант трояна SparkCat в App Store и Google Play, спустя год после того, как он впервые был выявлен и удален из официальных магазинов. Вредоносная программа скрывается в легитимных на первый взгляд приложениях и сканирует фотогалерею пользователя в поиске фраз для восстановления доступа к криптокошелькам, говорится в поступившем в «Газету.Ru» пресс-релизе.
В рамках текущего исследования были выявлены два зараженных приложения в App Store и одно в Google Play. Эксперты «Лаборатории Касперского» сообщили об этом в Google и Apple, в Google Play зловред уже удален. При этом приложения со SparkCat также распространяются через сторонние ресурсы. Некоторые из таких сайтов мимикрируют под App Store, если открывать их с iPhone.
Анализ показывает различия в таргетинге. Версия для Android ориентирована преимущественно на пользователей в Азии, распознает ключевые слова на японском, корейском и китайском языках. Вариант для iOS, напротив, ищет фразы на английском языке, что расширяет потенциальную географию атак.
Технически обновленный SparkCat отличается повышенной сложностью: используются методы обфускации, включая виртуализацию кода и кроссплатформенные технологии, что затрудняет обнаружение. По оценке экспертов, такие подходы редко применяются в мобильном вредоносном ПО и свидетельствуют о высоком уровне подготовки разработчиков.
«Обновленный вариант SparkCat, как и первая версия, в определенных сценариях запрашивает доступ к просмотру фотографий в галерее смартфона. Троянец анализирует текст на изображениях с помощью технологии оптического распознавания символов. Обнаружив релевантные ключевые слова, он отправляет изображение злоумышленникам. Сходство текущего образца с предыдущей версией позволяет предположить, что за их разработкой стоят одни и те же авторы», — заявил эксперт по кибербезопасности в «Лаборатории Касперского» Сергей Пузан.
По словам эксперта по кибербезопасности в «Лаборатории Касперского» Дмитрия Калинина, SparkCat — это развивающаяся мобильная угроза, разработчики которой постоянно усложняют техники обхода анализа, в результате чего программа обходит проверку безопасности в официальных магазинах приложений.
Пользователям в целях безопасности рекомендуется ограничивать доступ приложений к фотогалерее, избегать хранения конфиденциальных данных в виде изображений и использовать специализированные защитные решения.
Ранее россиян предупредили об опасном вирусе-пранкере.
