Σύμφωνα με την εταιρεία κυβερνοασφάλειας Kaspersky, εφαρμογές που διανέμονται μέσω των καταστημάτων εφαρμογών της Apple και της Google περιέχουν κακόβουλο κώδικα που χρησιμοποιεί τεχνολογία OCR για να κλέψει κρυπτονομίσματα. Η Kaspersky χαρακτηρίζει αυτή την περίπτωση ως την «πρώτη γνωστή» όπου εφαρμογές που εισέρχονται στο App Store της Apple είναι μολυσμένες με malware.
Η Kaspersky ανακάλυψε τον κακόβουλο κώδικα στο πλαίσιο της εκστρατείας που ονομάζει «SparkCat» στα τέλη του 2024. Ο συγκεκριμένος κώδικας φαίνεται να έχει αναπτυχθεί τον Μάρτιο της ίδιας χρονιάς. Ο κακόβουλος κώδικας λειτουργεί σε iOS και σε ορισμένες περιπτώσεις Android, ενεργοποιώντας ένα αίτημα πρόσβασης στις φωτογραφίες του χρήστη κάθε φορά που προσπαθεί να χρησιμοποιήσει την υποστήριξη μέσω chat μέσα στην μολυσμένη εφαρμογή.
Πώς λειτουργεί ο κακόβουλος κώδικας
Μόλις δοθεί η άδεια πρόσβασης, ο κακόβουλος κώδικας χρησιμοποιεί την τεχνολογία OCR της Google για να αποκρυπτογραφήσει κείμενα που υπάρχουν σε φωτογραφίες. Ειδικότερα, αναζητά στιγμιότυπα οθόνης που περιέχουν κωδικούς πρόσβασης κρυπτονομισμάτων ή φράσεις ανάκτησης. Στη συνέχεια, οποιαδήποτε εικόνα που εντοπίζεται αποστέλλεται στους επιτιθέμενους, οι οποίοι μπορούν να χρησιμοποιήσουν αυτές τις πληροφορίες για να αποκτήσουν πρόσβαση στα ψηφιακά πορτοφόλια και να κλέψουν κρυπτονομίσματα.
Η Kaspersky δεν μπορεί να επιβεβαιώσει με βεβαιότητα αν η μόλυνση προήλθε από επίθεση εφοδιαστικής αλυσίδας ή αν ήταν αποτέλεσμα σκόπιμης ενέργειας από τους προγραμματιστές. Ωστόσο, η εταιρεία αναφέρει δύο εφαρμογές chat με τεχνητή νοημοσύνη, τις WeTink και AnyGPT, οι οποίες φαίνεται να έχουν δημιουργηθεί για αυτή την εκστρατεία και είναι ακόμη διαθέσιμες στο App Store. Επίσης, βρέθηκε ο κακόβουλος κώδικας σε μια φαινομενικά νόμιμη εφαρμογή διανομής φαγητού, την ComeCome, η οποία μπορεί επίσης να κατέβει από τους χρήστες.
Μέχρι στιγμής, ούτε η Apple ούτε η Google έχουν απαντήσει σε αιτήματα για σχόλια σχετικά με το θέμα.
