W ostatnim czasie wykryto złośliwe oprogramowanie, które potrafi odczytywać treść zrzutów ekranu wykonanych przez użytkowników iPhone’ów. Jak wynika z raportu ekspertów ds. cyberbezpieczeństwa, tego rodzaju malware po raz pierwszy pojawiło się w aplikacjach dostępnych w oficjalnym sklepie z aplikacjami. Oznacza to, że nawet użytkownicy systemu iOS nie są całkowicie bezpieczni przed zagrożeniem.
Nazwa nadana temu złośliwemu oprogramowaniu to „SparkCat”. Jego działanie opiera się na technologii rozpoznawania tekstu (OCR), co pozwala mu analizować zawartość obrazów przechowywanych na urządzeniu i weryfikować, czy znajdują się tam informacje wrażliwe. Cyberprzestępcy szczególnie interesują się zrzutami ekranu zawierającymi frazy odzyskiwania portfeli kryptowalutowych. Jeśli uda im się uzyskać taką informację, mogą bez przeszkód przejąć dostęp do portfela użytkownika i ukraść jego środki, w tym bitcoiny oraz inne kryptowaluty.
Zidentyfikowane przez badaczy aplikacje korzystają z wtyczki OCR bazującej na bibliotece ML Kit opracowanej przez Google. Po przeanalizowaniu zdjęć na smartfonie aplikacja wysyła znalezione dane do serwera kontrolowanego przez cyberprzestępców. Oprogramowanie szpiegujące zostało wykryte w kilku aplikacjach dostępnych w sklepie z aplikacjami, w tym m.in. ComeCome, WeTink oraz AnyGPT. Nie jest jednak jasne, czy wprowadzenie wirusa było świadomym działaniem ich twórców, czy też stało się wynikiem ataku na łańcuch dostaw.
Zainfekowane aplikacje po pobraniu proszą użytkownika o zgodę na dostęp do zdjęć. Jeśli otrzymają tę zgodę, uruchamiają mechanizm OCR i skanują zapisane obrazy w poszukiwaniu istotnych informacji. Część z tych aplikacji nadal jest dostępna do pobrania, a ich głównym celem wydają się użytkownicy systemu iOS w Europie oraz Azji.
Eksperci ostrzegają, że pomimo głównego celu tego malware’u, którym jest kradzież danych dotyczących kryptowalut, SparkCat posiada zdolność wydobywania także innych poufnych informacji z zapisanych w galerii zrzutów ekranu. Może to obejmować m.in. hasła czy inne dane umożliwiające logowanie do kont użytkowników. Co więcej, podobne ataki zostały wcześniej zauważone na urządzeniach z systemem Android oraz komputerach PC. Wersja na iPhone’a jest więc kolejnym krokiem przestępców w rozwoju tej metody kradzieży danych.
Apple, jako twórca systemu iOS, dokłada wszelkich starań, aby każda aplikacja przed pojawieniem się w sklepie przeszła szczegółowy proces weryfikacji. Jednak w tym przypadku zagrożenie nie było oczywiste. Aplikacje nie wykazywały charakterystycznych cech trojana, a dostęp do zdjęć mogły uzasadniać swoją podstawową funkcjonalnością, dzięki czemu ominęły kontrole. Jest to dowód na to, że także oficjalne platformy dystrybucji aplikacji mogą zawierać złośliwe oprogramowanie, co obala mit całkowitego bezpieczeństwa urządzeń Apple przed wirusami.
Aby chronić się przed tego typu zagrożeniami, specjaliści zalecają unikanie przechowywania w galerii zdjęć zrzutów ekranu zawierających dane poufne — w szczególności frazy odzyskiwania portfeli kryptowalutowych. Cała lista frameworków zainfekowanych malwarem, jak również szczegółowe informacje na jego temat, jest dostępna na stronie ekspertów ds. cyberbezpieczeństwa.
