Специалисты «Лаборатории Касперского» выявили модернизированную разновидность вредоносной программы SparkCat, которая получила известность благодаря способности анализировать текст на изображениях для похищения мнемонических фраз. Версия для iOS теперь распознаёт английский язык.
Исследователи из «Лаборатории Касперского» обнаружили обновлённый вариант мобильного вредоноса SparkCat, нацеленного на извлечение из галереи пользователя снимков, содержащих мнемонические фразы от криптовалютных кошельков.
По данным специалистов, вредонос был замаскирован в, казалось бы, безобидных приложениях, включая корпоративные мессенджеры и сервисы доставки еды. Такие программы были найдены как в Google Play, так и в Apple App Store.
Впервые SparkCat был описан в феврале 2025 года. Исследователи подчеркнули, что троян применял модель оптического распознавания текста для обнаружения и кражи seed-фраз от криптокошельков. Обладание такой фразой даёт злоумышленникам возможность «копировать» чужие криптоактивы и выводить средства от имени владельца. Компенсировать утрату в подобных ситуациях крайне сложно.
Обновлённая версия для Android пытается распознавать ключевые слова на японском, корейском и китайском языках. Это указывает на то, что основная цель — пользователи из Юго-Восточной и Восточной Азии. Эксперты Kaspersky предполагают, что родным языком создателей вредоноса является китайский.
Кроме того, версия для iOS стремится находить ключевые слова на английском, что существенно расширяет потенциальную аудиторию, по крайней мере теоретически.
Для Android-версии также характерно применение нескольких уровней обфускации, направленных на затруднение анализа кода. Среди них — виртуализация кода и использование кроссплатформенных языков программирования.
Как и первая версия вредоноса, нынешняя после установки пытается получить доступ к фотогалерее устройства пользователя, что и должно настораживать, считает Никита Павлов, специалист по кибербезопасности компании SEQ.
«Лишь небольшому числу мобильных приложений действительно требуется доступ к фотогалерее, и обычно только периодический, — отмечает эксперт. — Если в случае с корпоративным мессенджером ещё могут быть сомнения, то зачем такое разрешение приложению для доставки еды? Даже если программа взята из официального магазина, запросы на избыточный доступ к личным данным пользователя — явный сигнал о её вредоносной природе».
На данный момент большинство скомпрометированных приложений из магазинов Apple и Google уже удалены.
Специалисты Kaspersky не упустили возможности подчеркнуть, что антивирусная защита для мобильных гаджетов сегодня является насущной потребностью. Вредоносные программы наподобие SparkCat вновь и вновь доказывают этот факт.
Администраторы криптовалютных платформ постоянно напоминают пользователям о том, что хранение скриншотов с сид-фразами на смартфонах крайне рискованно с точки зрения безопасности информации.
