In een verontrustende ontwikkeling hebben cyberbeveiligingsonderzoekers van Kaspersky een geavanceerde malwarecampagne ontdekt die zich richt op zowel iOS- als Android-apparaten. Deze malware staat bekend als SparkCat en maakt gebruik van optische tekenherkenningstechnologie (OCR) om fotogalerijen van gebruikers te scannen en gevoelige cryptocurrency-portemonnee-informatie, met name herstelzinnen, uit schermafbeeldingen te extraheren. De kwaadaardige apps die deze malware bevatten, werden ontdekt op zowel Google Play als de App Store van Apple, wat het eerste bekende voorbeeld van een dergelijke aanval binnen het ecosysteem van Apple markeert.
De SparkCat-malware werd eind 2024 voor het eerst geïdentificeerd, maar de oorsprong ervan gaat terug tot maart van hetzelfde jaar. Het werkt door toegang te vragen tot de fotogalerijen van gebruikers wanneer ze interactie hebben met ondersteuningsfuncties in de geïnfecteerde apps. Na toestemming gebruikt de malware OCR-technologie (met name de ML Kit-bibliotheek van Google) om afbeeldingen te scannen op herkenbare trefwoorden, zoals herstelzinnen die verband houden met cryptocurrency-wallets. Als de malware een afbeelding detecteert die een herstelzin bevat, stuurt deze deze terug naar een command-and-control-server waar de aanvallers de geëxtraheerde informatie kunnen gebruiken om de crypto-portemonnee van het slachtoffer in gevaar te brengen.
Aanbevolen lees:PSA: Nieuwe Mac-malware steelt wachtwoorden, cryptovaluta en meer via kwaadaardige apps
Kaspersky’s onderzoekonthultdat de malware was ingebed in ten minste 18 Android-apps en 10 iOS-apps, waarvan sommige honderdduizenden keren zijn gedownload. Zo bleken apps als ComeCome, een maaltijdbezorgservice, de malware op beide platforms te herbergen. WeTink en AnyGPT, twee op AI gebaseerde chat-apps, raakten ook besmet. Hoewel Google actie heeft ondernomen om de meeste getroffen Android-apps uit de winkel te verwijderen, zijn sommige nog steeds beschikbaar, wat een risico blijft vormen. De situatie met iOS-apps is vergelijkbaar, waarbij Kaspersky meldt dat sommige in de App Store blijven staan.
De ware oorsprong van SparkCat is nog steeds onduidelijk. Kaspersky heeft niet bevestigd of de malware opzettelijk door ontwikkelaars is geïntroduceerd of het gevolg is van een supply chain-aanval. Opvallend is echter het gebruik van een op Rust gebaseerd communicatieprotocol voor interactie met command-and-control-servers. Deze techniek, die niet vaak wordt gebruikt in mobiele apps, zou meer inzicht kunnen bieden in de verfijning van de aanvallers achter de campagne. Opvallend is dat de malware zich voornamelijk lijkt te richten op gebruikers in Europa en Azië, wat erop wijst dat de dreigingsactor mogelijk vloeiend Chinees spreekt.
Wat SparkCat bijzonder gevaarlijk maakt, is de subtiliteit ervan. Er zijn geen duidelijke kwaadaardige implantaten in de apps en de door de malware gevraagde toestemmingen lijken vaak onschadelijk, waardoor het voor gebruikers moeilijk wordt om de dreiging te herkennen. Het gebruik van OCR door de malware om de fotogalerijen van gebruikers te scannen, die gevoelige afbeeldingen kunnen bevatten, zoals herstelzinnen voor cryptocurrency, verhoogt het risico op financieel verlies aanzienlijk. Bovendien betekent het feit dat de malware heimelijk werkt dat gebruikers zich mogelijk niet bewust zijn van de inbreuk totdat hun crypto-portemonnee is geleegd.
Dit incident onderstreept het belang van een goede app-controle. Hoewel deze kwaadaardige apps beschikbaar waren in de officiële appstores, slaagden ze er nog steeds in de beveiligingsmaatregelen te omzeilen en een aanzienlijk aantal gebruikers te treffen. De bevindingen van Kaspersky herinneren ons er duidelijk aan dat gebruikers voorzichtig moeten zijn bij het verlenen van app-machtigingen, vooral als het gaat om apps die toegang vragen tot persoonlijke bestanden of afbeeldingen. Bovendien wordt gebruikers geadviseerd om gevoelige informatie, zoals herstelzinnen voor cryptocurrency-portemonnees, op te slaan in gecodeerde notitieopslag of wachtwoordbeheerders in plaats van in gemakkelijk toegankelijke formaten zoals schermafbeeldingen.
Hoewel zowel Apple als Google nog geen officiële verklaringen over de SparkCat-malware hebben afgelegd, is het duidelijk dat de aanval de groeiende dreiging van geavanceerde malwarecampagnes benadrukt. Het is belangrijk dat gebruikers waakzaam blijven, app-machtigingen regelmatig controleren en mogelijk gecompromitteerde apps verwijderen om hun persoonlijke gegevens te beschermen.