新たに発見されたマルウェアキャンペーンは、利用可能なアプリの脆弱性を活用することにより、iOSから暗号通貨を盗むことです。App Store。
Kasperskyの研究者発見しましたiOSとAndroidの両方の複数のアプリ内にSparkcatを隠した悪意のあるソフトウェア開発キット(SDK)。 SparkCatは、光学文字認識(OCR)を使用して暗号通貨ウォレットの回復フレーズを盗むように設計されており、攻撃者が資金にリモートでアクセスして排出できるようにします。
Kasperskyは、悪意のあるSparkcat SDKにリンクされたMD5ハッシュのリストと、iOSアプリ用のbundleidsのリストを共有しています。ただし、同社は感染したアプリの完全なリストを明らかにしておらず、ユーザーがインストールしたかどうかについてユーザーを暗闇の中に残しています。
Chataiのように特定されている人もいますが、多くは名前のままであり、マルウェアがまだユーザーのデバイスに潜んでいる可能性があるという懸念を提起しています。
Google Playの感染したアプリには242,000を超えるダウンロードがあり、SparkCatはAppleのApp Storeレビュープロセスを滑り込ませる暗号型マルウェアの最初の文書化されたインスタンスのようです。当初は、UAEとインドネシアで入手可能なComeComeと呼ばれる食品配達アプリで見つかりました。
疑わしいSDKが呼ばれています。画像クレジット:Kaspersky
研究者は、少なくとも2024年3月以来、マルウェアがアクティブであると判断し、ユーザーのフォトギャラリーを財布の回復フレーズのためにスキャンし、攻撃者制御コマンドアンドコントロール(C2)サーバーに密かにアップロードしました。
主に非公式のソースに広がる過去のマルウェアとは異なり、Sparkcatは合法的なアプリストアに滑り込むことができ、より深刻な脅威になりました。また、モバイルアプリ向けの珍しいプログラミング言語であるRustで構築されたカスタムプロトコルを使用して、攻撃者と通信します。
感染したアプリの中には、フードデリバリーやAI駆動のメッセージングアプリなど、合法的なアプリの一部は、ユーザーを餌にするために作成された可能性があります。
AppleとGoogleはほとんどの影響を受けたアプリを削除しましたが、セキュリティ研究者は、一部の人々はサイドードまたはサードパーティのソースを通じて利用できる可能性があると警告しています。これらのアプリをダウンロードした人は誰でもすぐに削除し、不正アクセスの兆候がないか、暗号ウォレットを確認する必要があります。
暗号資産を保護する方法
Sparkcatのように、一部のマルウェア株はOCRを使用して画像からテキストを抽出します。リカバリフレーズをスクリーンショットまたは写真として保存すると、攻撃者が使用する自動スキャンツールの簡単なターゲットになります。
インストールされているアプリを定期的に確認し、なじみのないものや不要に見えるものを削除します。評判の良いモバイルセキュリティアプリを使用すると、問題になる前に潜在的な脅威を捉えることができます。
OCR画像処理結果の間でキーワードを検索します。画像クレジット:Kaspersky
また、財布が妥協されていると思われる場合は、新鮮な回復フレーズを使用して、新しい資金に新しい資金に転送されますが、デバイスがきれいであることを確認してください。
つまり、疑わしいアプリ、特にセキュリティレポートにフラグが付けられたアプリを削除することを意味します。また、アプリの許可をリセットし、キャッシュされたデータをクリアして、長引く脅威を削除することをお勧めします。
バックアップから復元する前に、マルウェアを再導入することは一般的なリスクであるため、感染したアプリが含まれていないことを確認してください。リセット後、リスクを最小限に抑えるために、信頼できるソースから必須アプリのみを再インストールします。