Компании Apple и Google удалили из своих магазинов приложений около 20 приложений после того, как исследователи безопасности обнаружили, что эти приложения почти год несли в себе вредоносное ПО, похищающее данные.
Исследователи безопасности из Kaspersky заявили, что вредоносная программа, получившая название SparkCat, была активна с марта 2024 года. Первоначально исследователи обнаружили вредоносный фреймворк в приложении для доставки еды, используемом в Объединенных Арабских Эмиратах и Индонезии, но затем нашли его в 19 других, не связанных между собой приложениях, которые, по их словам, были загружены в общей сложности более 242 000 раз через Play Store Google.
Используя код, предназначенный для захвата текста, видимого на дисплее пользователя - так называемое оптическое распознавание символов (OCR), - исследователи обнаружили, что вредоносная программа сканирует галереи изображений на устройствах жертв на предмет ключевых слов, чтобы найти фразы для восстановления криптовалютных кошельков на разных языках, включая английский, китайский, японский и корейский.
Используя вредоносную программу для перехвата фраз восстановления, злоумышленники могли получить полный контроль над кошельком жертвы и украсть ее средства, обнаружили исследователи.
По словам исследователей, вредоносная программа также позволяет извлекать личную информацию из скриншотов, например, сообщения и пароли.
Получив сообщение от исследователей, компания Apple на прошлой неделе удалила скомпрометированные приложения из App Store, за ней последовал Google.
«Все обнаруженные приложения были удалены из Google Play, а их разработчики были заблокированы», - сообщил TechCrunch представитель Google Эд Фернандес.
Представитель Google также подтвердил, что пользователи Android защищены от известных версий этого вредоносного ПО с помощью встроенной функции безопасности Google Play Protect.
Компания Apple не ответила на просьбу о комментарии.
Представитель «Касперского» Розмари Гонзалес сообщила TechCrunch, что, хотя приложения, о которых сообщалось, были удалены из официальных магазинов приложений, данные телеметрии компании указывают на то, что вредоносное ПО также было доступно на других веб-сайтах и в неофициальных магазинах приложений.
Оригинал
Уникальность
