Πανίσχυρος ιός με κώδικα αναγνώρισης οθόνης βρέθηκε για πρώτη φορά σε iPhone εφαρμογές!

Η πασίγνωστη εταιρεία κυβερνοασφάλειας Kaspersky εντόπισε malware ενσωματωμένο σε iOS εφαρμογές, ικανό να εξάγει κείμενο από screenshots, χρησιμοποιώντας τεχνολογία Optical Character Recognition (OCR).

Πρόκειται για την πρώτη καταγεγραμμένη περίπτωση τέτοιου κακόβουλου λογισμικού που καταφέρνει να παρακάμψει τους ελέγχους ασφαλείας του App Store της Apple. Το malware, γνωστό ως "SparkCat", ανιχνεύθηκε σε πολλές εφαρμογές που έχουν σχεδιαστεί για να εντοπίζουν και να αποσπούν φράσεις ανάκτησης crypto που είναι αποθηκευμένες στις εικόνες των χρηστών. Χρησιμοποιώντας ένα OCR plug-in από το ML Kit της Google, το κακόβουλο λογισμικό επιτρέπει στους επιτιθέμενους να αποκτούν πρόσβαση σε ευαίσθητες οικονομικές πληροφορίες από μολυσμένες συσκευές.

Σύμφωνα με την αναφορά της Kaspersky, το SparkCat δραστηριοποιείται από τον Μάρτιο του 2024. Παρότι αρχικά είχε εντοπιστεί σε Android και PC, πλέον έχει επεκταθεί και σε iOS. Οι εφαρμογές που έχουν προσβληθεί, όπως οι WeTink, AnyGPT και ComeCome, ζητούν πρόσβαση στη συλλογή φωτογραφιών του χρήστη με πρόσχημα άλλη λειτουργικότητα. Εφόσον δοθεί άδεια όμως, το malware σαρώνει όλες τις αποθηκευμένες εικόνες για κείμενα που σχετίζονται με κρυπτονομίσματα και στη συνέχεια αποστέλλει τα δεδομένα σε έναν απομακρυσμένο server που ελέγχεται από τους επιτιθέμενους. Παρόλο που η πλήρης έκταση της διάδοσής του δεν έχει εξακριβωθεί, η Kaspersky επισημαίνει ότι η μόλυνση μπορεί να είναι αποτέλεσμα είτε σκόπιμης ενέργειας από τους προγραμματιστές είτε supply chain επίθεσης (ένας τύπος κυβερνοεπίθεσης όπου κακόβουλος κώδικας εισάγεται στο λογισμικό μέσω παραβιασμένων third-party components ή εργαλείων ανάπτυξης).

Οι κακόβουλες εφαρμογές φαίνεται να στοχεύουν κυρίως χρήστες iOS στην Ευρώπη και την Ασία. Αν και το App Store της Apple εφαρμόζει αυστηρά μέτρα ασφαλείας, η διείσδυση του SparkCat δείχνει ότι η διαδικασία αξιολόγησης των εφαρμογών απέτυχε να εντοπίσει την απειλή. Σε αντίθεση με τα κλασικά trojans, αυτές οι εφαρμογές δεν εμφανίζουν προφανή ύποπτη συμπεριφορά, καθιστώντας τον εντοπισμό τους πιο δύσκολο. Επιπλέον, τα αιτήματα για άδειες πρόσβασης που κάνουν οι εφαρμογές συνάδουν με τις βασικές λειτουργίες τους, μειώνοντας την πιθανότητα οι χρήστες να τις αναγνωρίσουν ως κίνδυνο.

Παρότι το SparkCat επικεντρώνεται αυτή τη στιγμή στην υποκλοπή δεδομένων που αφορούν κρυπτονομίσματα, η Kaspersky προειδοποιεί ότι η λειτουργικότητά του μπορεί να προσαρμοστεί ώστε να εξάγει και άλλες ευαίσθητες πληροφορίες, όπως κωδικούς πρόσβασης ή προσωπικά δεδομένα από στιγμιότυπα οθόνης. Η εταιρεία συμβουλεύει τους χρήστες να αποφεύγουν την αποθήκευση εικόνων που περιέχουν ευαίσθητα δεδομένα στη συλλογή φωτογραφιών τους. Μια πλήρης λίστα με τα επηρεαζόμενα frameworks και περισσότερες τεχνικές λεπτομέρειες είναι διαθέσιμες στον ιστότοπο της Kaspersky πατώντας εδώ.