Εφαρμογές με κρυφές δυνατότητες σάρωσης εικόνας εντοπίστηκαν στο Play Store αλλά και στο App Store για συσκευές iOS με τους ειδικούς να καλούν τους χρήστες να τις διαγράψουν.
Αν και κανένα λειτουργικό σύστημα δεν είναι αδιαπέραστο από απειλές, είναι πιο συνηθισμένο για εφαρμογές με κακόβουλο λογισμικό να φτάνουν στο Play Store της Google. Η Kaspersky ανακάλυψε μια καμπάνια κακόβουλου λογισμικού με το όνομα SparkCat που διανέμει εφαρμογές με κακόβουλο λογισμικό για την κλοπή εικόνων σε γκαλερί τηλεφώνων αποσκοπώντας να βρει φράσεις ανάκτησης για πρόσβαση σε πορτοφόλια κρυπτονομισμάτων και κλοπή χρημάτων.
Η επίθεση στοχεύει χρήστες Android και iPhone τόσο μέσω επίσημων όσο και ανεπίσημων καναλιών. Οι μολυσμένες εφαρμογές λήφθηκαν περισσότερες από 242.000 φορές από το Google Play από χρήστες Android.
Αν και δεν είναι γνωστό πόσοι χρήστες iPhone έπεσαν θύματα τους, το γεγονός ότι οι εφαρμογές έφτασαν στο App Store είναι αξιοσημείωτο καθώς δεν είχαν βρεθεί ποτέ στο παρελθόν εφαρμογές κλοπής στην αγορά εφαρμογών της Apple.
Το κακόβουλο λογισμικό χρησιμοποίησε μια προσθήκη OCR που δημιουργήθηκε με τη βιβλιοθήκη ML Kit της Google για την ανάγνωση κειμένων από εικόνες. Οι εικόνες που περιέχουν σχετικές λέξεις-κλειδιά αποστέλλονται πίσω σε εγκληματίες του κυβερνοχώρου. Ενώ το κακόβουλο λογισμικό αναζητά crypto wallet φράσεις ανάκτησης, μπορεί επίσης να αναγνωρίσει άλλες ευαίσθητες πληροφορίες σε εικόνες, όπως μηνύματα ή κωδικούς πρόσβασης που καταγράφονται σε στιγμιότυπα οθόνης.
Ορισμένες από τις μολυσμένες εφαρμογές που εντοπίστηκαν από την Kaspersky περιλαμβάνουν την εφαρμογή παράδοσης φαγητού ComeCome, ChatAi και τις εφαρμογές ανταλλαγής μηνυμάτων WeTink και AnyGPT. Ορισμένες από τις εφαρμογές παραμένουν διαθέσιμες στο Google Play και το App Store.
Το κακόβουλο λογισμικό ήταν ενεργό από τον Μάρτιο του 2024. Οι εφαρμογές που επηρεάστηκαν ήταν δύσκολο να εντοπιστούν, καθώς δεν συμπεριφέρονταν απαραίτητα με ψύχραιμο τρόπο και η χρήση τους για την προβλεπόμενη λειτουργικότητα ήταν αρκετή για να ενεργοποιήσει το κακόβουλο λογισμικό χωρίς να απαιτούνται υπερβολικές άδειες.
Η Kaspersky δεν είναι σίγουρη αν οι προγραμματιστές ευθύνονται για τη μόλυνση ή αν «ήταν αποτέλεσμα επίθεσης στην αλυσίδα εφοδιασμού». Αυτό σημαίνει ότι ενώ ορισμένες δημιουργήθηκαν σκόπιμα για να δελεάσουν θύματα, άλλες ήταν νόμιμες εφαρμογές.
Το κύμα φαίνεται να στοχεύει κυρίως χρήστες Android και iPhone στην Ευρώπη και την Ασία.
Εάν έχετε κάποια από τις παραπάνω εφαρμογές στο τηλέφωνό σας, διαγράψτε τη άμεσα και, για να προστατευτείτε από κακόβουλα προγράμματα όπως αυτά, αποφύγετε την αποθήκευση στιγμιότυπων οθόνης με ευαίσθητα δεδομένα στη συλλογή του τηλεφώνου σας.