حددت Kaspersky Labs حملة برمجيات ضارة متطورة تستهدف مستخدمي العملات المشفرة عبر مجموعات تطوير البرامج الضارة المدمجة في التطبيقات المتاحة على Google Play وApple App Store. سميت هذه البرامج الضارة باسم "SparkCat"، وتستخدم التعرف البصري على الأحرف لفحص صور المستخدمين بحثاً عن عبارات استرداد محافظ العملات المشفرة، والتي يستخدمها المتسللون بعد ذلك للوصول إلى المحافظ المتأثرة واستنزافها.
في تقرير شامل بتاريخ 4 فبراير 2025، قام الباحثان في Kaspersky سيرجي بوزان وديمتري كالينين بتفصيل كيف تتسلل برامج SparkCat الضارة إلى الأجهزة وتبحث في الصور عن عبارات الاسترداد من خلال اكتشاف الكلمات الرئيسية المتعددة اللغات. بمجرد الحصول على هذه العبارات، يحصل المهاجمون على وصول غير مقيد إلى محافظ العملات المشفرة للضحايا. وهكذا يحقق المتسللون سيطرة كاملة على الأموال، كما أبرز الباحثون.
بالإضافة إلى ذلك، تم تصميم البرامج الضارة لسرقة معلومات حساسة إضافية، مثل كلمات المرور والرسائل الخاصة الملتقطة في لقطات الشاشة. تحديدًا على أجهزة Android، تتظاهر SparkCat بأنها وحدة تحليل مبنية على جافا تسمى Spark. تتلقى البرامج الضارة تحديثات تشغيلية من ملف تهيئة مشفر على GitLab وتستخدم مجموعة أدوات ML الخاصة بجوجل لاستخراج النصوص من الصور على الأجهزة المصابة. يؤدي اكتشاف عبارة استرداد إلى إرسال البرامج الضارة للمعلومات مرة أخرى إلى المهاجمين، مما يسمح لهم باستيراد محفظة الضحية إلى أجهزتهم.
تقدر Kaspersky أنه منذ ظهورها في مارس 2023، تم تنزيل SparkCat حوالي 242,000 مرة، مما أثر بشكل رئيسي على المستخدمين في أوروبا وآسيا.
في تقرير منفصل لكنه ذو صلة من منتصف عام 2024، كانت Kaspersky تراقب حملة برمجيات ضارة أخرى على Android تتضمن ملفات APK مخادعة مثل Tria Stealer، التي تقوم باعتراض رسائل SMS وسجلات المكالمات وسرقة بيانات Gmail.
يمتد وجود هذه البرامج الضارة عبر العديد من التطبيقات، بما في ذلك بعض التطبيقات التي تبدو شرعية مثل خدمات توصيل الطعام، وأخرى مصممة لجذب المستخدمين الغافلين، مثل تطبيقات المراسلة المدعومة بالذكاء الاصطناعي. تشمل الميزات المشتركة بين هذه التطبيقات المصابة استخدام لغة البرمجة Rust، وقدرات عبر الأنظمة، وطرق تعمية متطورة لتفادي الاكتشاف.
تبقى أصول SparkCat غير واضحة. لم ينسب الباحثون البرامج الضارة لأي مجموعة قرصنة معروفة، لكن لاحظوا التعليقات ورسائل الخطأ باللغة الصينية في الكود، مما يشير إلى الطلاقة في اللغة الصينية من قبل المطور. على الرغم من أنه يشترك في أوجه تشابه مع حملة اكتشفتها ESET في مارس 2023، إلا أن مصدره الدقيق لا يزال غير معروف.
توصي Kaspersky بشدة المستخدمين بعدم تخزين معلومات حساسة مثل عبارات استرداد محافظ العملات المشفرة في معارض صورهم. بدلاً من ذلك، يوصون باستخدام مديري كلمات المرور والفحص المنتظم للبرامج المشبوهة والقضاء عليها.
أُبلغ عن النتائج في الأصل على 99Bitcoins في المقالة التي تحمل عنوان "Malicious SDKs on Google Play and App Store Steal Crypto Seed Phrases: Kaspersky."