Wprowadzenie do problemu / definicja
SparkCat to mobilne złośliwe oprogramowanie wymierzone w użytkowników kryptowalut. Jego głównym celem nie jest klasyczna kradzież haseł czy przejęcie sesji, ale wyszukiwanie w galerii zdjęć obrazów zawierających frazy odzyskiwania portfeli kryptowalutowych, a następnie przekazywanie wybranych plików do infrastruktury kontrolowanej przez atakujących.
Najnowszy wariant tej kampanii pokazuje, iż zagrożenie rozwija się równolegle na iOS i Androidzie. Cyberprzestępcy ukrywają złośliwe funkcje w aplikacjach, które sprawiają wrażenie legalnych i użytecznych, co zwiększa szansę na instalację przez niczego niepodejrzewających użytkowników.
W skrócie
Badacze bezpieczeństwa zidentyfikowali nową odsłonę SparkCat w aplikacjach dostępnych na urządzenia z systemami iOS i Android. Zainfekowane programy podszywały się pod nieszkodliwe narzędzia, w tym komunikatory biznesowe oraz aplikacje związane z dostawą jedzenia.
- malware uzyskuje dostęp do zdjęć użytkownika,
- analizuje obrazy lokalnie przy użyciu OCR,
- wyszukuje frazy seed służące do odzyskiwania portfeli kryptowalut,
- przesyła do operatorów kampanii tylko te obrazy, które zawierają wartościowe dane.
Wariant na Androida wydaje się silniej ukierunkowany na użytkowników z Azji, natomiast wersja na iOS może mieć szerszy zasięg dzięki analizie anglojęzycznych fraz mnemoniczych.
Kontekst / historia
SparkCat był już wcześniej opisywany jako trojan mobilny wykorzystujący rozpoznawanie tekstu w obrazach do selektywnej kradzieży zdjęć zawierających dane o wysokiej wartości. Od początku wyróżniał się tym, iż nie kopiował masowo całej zawartości urządzenia, ale koncentrował się na materiałach, które mogły umożliwić przejęcie aktywów kryptowalutowych.
Nowo wykryty wariant potwierdza, iż nie chodzi o jednorazową operację, ale o rozwijany projekt z wyraźnie określonym modelem działania. Atakujący przez cały czas wykorzystują strategię ukrywania złośliwego kodu w pozornie legalnych aplikacjach dystrybuowanych przez oficjalne sklepy mobilne. To istotne, ponieważ sama obecność programu w zaufanym kanale dystrybucji może obniżać czujność użytkownika i utrudniać ocenę ryzyka.
Analiza techniczna
Mechanizm działania SparkCat opiera się na dostępie do galerii zdjęć i analizie zawartości obrazów. Po uzyskaniu wymaganych uprawnień aplikacja uruchamia moduł OCR, który wyodrębnia tekst z fotografii, zrzutów ekranu oraz innych grafik zapisanych na urządzeniu. Następnie rozpoznana treść jest porównywana z zestawem słów kluczowych i wzorców typowych dla fraz odzyskiwania portfeli kryptowalutowych.
Jeżeli analiza wykryje dane uznane za operacyjnie wartościowe, malware nie musi eksfiltrować całej biblioteki zdjęć. Zamiast tego wybiera jedynie obrazy spełniające określone kryteria i wysyła je do serwera atakującego. Taki model ogranicza ilość przesyłanych danych, zmniejsza ślady w ruchu sieciowym i utrudnia wykrywanie anomalii transferu.
Wariant androidowy został dodatkowo rozbudowany o techniki utrudniające analizę. Wskazuje się na zastosowanie wielu warstw obfuskacji, w tym wirtualizacji kodu oraz użycia technologii wieloplatformowych. Takie podejście komplikuje analizę statyczną i dynamiczną, wydłuża proces tworzenia sygnatur i zwiększa koszt reverse engineeringu.
Istotne są również różnice operacyjne między platformami. Na Androidzie malware wyszukuje słowa najważniejsze w językach japońskim, koreańskim i chińskim, co sugeruje regionalne ukierunkowanie kampanii. Z kolei wariant iOS koncentruje się na anglojęzycznych frazach mnemoniczych, co potencjalnie zwiększa grono ofiar niezależnie od kraju, jeżeli użytkownik przechowuje seed phrase w formie obrazu.
Z perspektywy technik i procedur atakujących kampania stanowi przykład połączenia trojana mobilnego, kradzieży danych wysokiej wartości oraz selektywnej eksfiltracji opartej na klasyfikacji treści. To bardziej dojrzały model niż tradycyjne kampanie mobilne ukierunkowane na masowe zbieranie wiadomości SMS, kontaktów czy tokenów uwierzytelniających.
Konsekwencje / ryzyko
Najpoważniejszym skutkiem infekcji jest możliwość przejęcia portfela kryptowalutowego bez potrzeby łamania hasła do aplikacji. Fraza odzyskiwania jest bowiem podstawowym sekretem umożliwiającym odtworzenie portfela na innym urządzeniu. jeżeli trafi w ręce atakującego, może on odzyskać dostęp do aktywów i przenieść środki poza kontrolę właściciela.
Ryzyko jest szczególnie wysokie wśród osób, które zapisują seed phrase jako zrzut ekranu, zdjęcie kartki papieru albo fotografię notatki przechowywaną w galerii. W takim scenariuszu choćby ograniczony dostęp aplikacji do biblioteki zdjęć może wystarczyć do pełnej kompromitacji bezpieczeństwa środków.
Zagrożenie podważa również zaufanie do modelu bezpieczeństwa oficjalnych sklepów z aplikacjami. Chociaż taka dystrybucja pozostaje znacznie bezpieczniejsza niż instalowanie systemu z nieznanych źródeł, przypadki takie jak SparkCat pokazują, iż mechanizmy weryfikacyjne nie eliminują całkowicie ryzyka obecności złośliwych lub nadmiernie inwazyjnych komponentów.
W środowiskach organizacyjnych problem wykracza poza użytkowników indywidualnych. jeżeli urządzenia mobilne są wykorzystywane w modelu BYOD lub służą do obsługi portfeli, płatności i aplikacji Web3, podobna infekcja może prowadzić do strat finansowych, incydentów reputacyjnych oraz problemów związanych z compliance i ochroną danych.
Rekomendacje
Najważniejszą zasadą bezpieczeństwa jest nieprzechowywanie fraz odzyskiwania portfeli kryptowalut w galerii zdjęć, w chmurze zdjęć ani w formie zrzutów ekranu. Seed phrase powinna być przechowywana offline, najlepiej w formie fizycznej, z odpowiednim zabezpieczeniem przed utratą i nieautoryzowanym dostępem.
Użytkownicy powinni także krytycznie oceniać żądania dostępu do zdjęć. jeżeli komunikator, aplikacja użytkowa lub narzędzie związane z usługami dostawczymi wymaga szerokiego dostępu do galerii bez wyraźnego uzasadnienia, należy potraktować to jako sygnał ostrzegawczy. Warto też przyznawać możliwie ograniczone uprawnienia, najlepiej tylko do wybranych plików lub na czas użycia.
- regularnie przeglądać listę zainstalowanych aplikacji,
- usuwać programy nieużywane lub budzące wątpliwości,
- monitorować uprawnienia do zdjęć, plików i pamięci urządzenia,
- aktualizować system operacyjny oraz aplikacje,
- korzystać z mobilnych rozwiązań bezpieczeństwa zdolnych do wykrywania zagrożeń na iOS i Androidzie.
W firmach warto wdrożyć kontrolę MDM lub EMM, egzekwować polityki instalacji aplikacji, ograniczać dostęp do prywatnych repozytoriów danych na urządzeniach mobilnych i rozwijać świadomość użytkowników w zakresie ryzyka wynikającego z przechowywania sekretów kryptograficznych w postaci obrazów.
Dla zespołów bezpieczeństwa ważne jest również rozszerzenie monitoringu o zachowania aplikacji związane z OCR oraz nietypowym dostępem do galerii. Tego rodzaju telemetria może stać się cennym wskaźnikiem wczesnego wykrywania aplikacji nadużywających pozornie legalnych uprawnień.
Podsumowanie
Nowy wariant SparkCat pokazuje, iż mobilne malware coraz częściej wykorzystuje selektywną analizę danych zamiast prostego, masowego wycieku informacji. W tym przypadku celem są obrazy zawierające frazy odzyskiwania portfeli kryptowalut, czyli dane umożliwiające bezpośrednie przejęcie aktywów.
Połączenie obecności w oficjalnych sklepach, użycia OCR oraz zaawansowanej obfuskacji sprawia, iż SparkCat stanowi istotne zagrożenie zarówno dla użytkowników indywidualnych, jak i organizacji. Najskuteczniejszą obroną pozostaje ograniczanie ekspozycji wrażliwych danych, ostrożne zarządzanie uprawnieniami aplikacji i stały monitoring mobilnego ekosystemu.
