Вредоносное программное обеспечение, включающее код для чтения содержимого скриншотов, впервые было обнаружено в подозрительных приложениях App Store, согласно отчету Лаборатории Касперского.

Вредоносное ПО, получившее название «SparkCat», включает функции оптического распознавания символов (OCR) для выявления конфиденциальной информации, скриншоты которой сделал пользователь iPhone. Приложения, обнаруженные Лабораторией Касперского, предназначены для поиска фраз восстановления для криптокошельков, что позволит злоумышленникам похищать биткойны и другую криптовалюту.

Приложения содержат вредоносный модуль, который использует плагин OCR, созданный с помощью библиотеки Google ML Kit, для распознавания текста на изображениях на ‌iPhone‌. Когда обнаружено соответствующее изображение криптокошелька, оно отправляется на сервер, к которому имеет доступ злоумышленник.

По данным Лаборатории Касперского, SparkCat активен примерно с марта 2024 года. Аналогичное вредоносное ПО было обнаружено в 2023 году, оно нацеливалось на устройства Android и ПК, но теперь распространилось и на iOS. Лаборатория Касперского обнаружила несколько приложений ‌App Store‌ со шпионским ПО OCR, включая ComeCome, WeTink и AnyGPT, но пока неясно, была ли инфекция «преднамеренным действием разработчиков» или «результатом атаки на цепочку поставок».

Зараженные приложения запрашивают разрешение на доступ к фотографиям пользователя после загрузки, и, если разрешение предоставлено, используют функциональность OCR для просмотра изображений в поисках соответствующего текста. Некоторые из этих приложений все еще находятся в ‌App Store‌ и, по-видимому, нацелены на пользователей iOS в Европе и Азии.

Хотя приложения нацелены на кражу криптоинформации, Лаборатория Касперского заявляет, что вредоносное ПО достаточно гибкое, чтобы его можно было использовать для доступа к другим данным, захваченным на скриншотах, таким как пароли. Приложения Android также затронуты, включая приложения из Google Play Store, но пользователи iOS часто ожидают, что их устройства будут устойчивы к вредоносному ПО.

Apple проверяет каждое приложение в ‌App Store‌, и вредоносное приложение означает сбой в процессе проверки Apple. В данном случае, по-видимому, нет явных признаков трояна в приложении, а запрашиваемые им разрешения, похоже, необходимы для основной функциональности.

Лаборатория Касперского рекомендует пользователям избегать хранения скриншотов с конфиденциальной информацией, такой как фразы восстановления криптокошельков, в своей Фототеке, чтобы обезопасить себя от такого рода атак.

Полный список зараженных iOS-фреймворков, а также дополнительная информация о вредоносном ПО доступны на сайте Лаборатории Касперского.