حذّرت شركة الأمن السيبراني كاسبرسكي من برمجية خبيثة جديدة تُعرف باسم SparkKitty، تقوم بسرقة الصور من الأجهزة المصابة بحثًا عن عبارات الاسترداد الخاصة بمحافظ العملات الرقمية.
وأوضح محللو كاسبرسكي سيرغي بوزان وديمتري كالينين في تقرير يوم الإثنين أن SparkKitty يستهدف أجهزة iOS وAndroid عبر التسلل إلى بعض التطبيقات في متجر App Store وGoogle Play.
وبمجرد إصابة الجهاز، تقوم البرمجية الخبيثة بسرقة جميع الصور من المعرض دون تمييز.
"رغم أننا نشتبه في أن الهدف الأساسي للمهاجمين هو العثور على لقطات شاشة لعبارات الاسترداد الخاصة بمحافظ العملات الرقمية، إلا أن الصور المسروقة قد تحتوي أيضًا على بيانات حساسة أخرى."
تطبيقات خبيثة ذات طابع تشفير
تم اكتشاف تطبيقين استخدمتهما البرمجية لنشر الفيروس، وكلاهما ذو طابع تشفير. الأول، تطبيق 币coin، الذي يُسوّق على أنه متتبع معلومات العملات الرقمية، وكان متاحًا على App Store. أما تطبيق SOEX، وهو تطبيق مراسلة مع "ميزات تبادل العملات الرقمية"، كان متاحًا على Google Play.
يُسوّق SOEX كتطبيق مراسلة مزود بميزات تبادل العملات المشفرة. المصدر: Kaspersky
"تم تحميل تطبيق SOEX من Google Play أكثر من 10,000 مرة. أبلغنا Google، وتمت إزالة التطبيق من المتجر"، بحسب بوزان وكالينين.
وأكد متحدث باسم Google لـ Cointelegraph إزالة التطبيق من المتجر، وحظر المطور.
"يتمتع مستخدمو أندرويد بالحماية التلقائية ضد هذا التطبيق بفضل Google Play Protect، والمفعل افتراضيًا على أجهزة أندرويد التي تحتوي على خدمات Google Play."
كما اكتشف المحللون انتشار SparkKitty عبر تطبيقات كازينو، وألعاب ذات محتوى للكبار، ونسخ خبيثة من تطبيق TikTok.
النسخة الأبسط من SparkCat
البرمجية الجديدة تشبه SparkCat، التي حُددت في تحقيق لكاسبرسكي في يناير. كلاهما يهدف للبحث عن عبارات استرداد محافظ العملات الرقمية داخل صور المستخدمين.
"رغم بساطته من الناحية التقنية، إلا أن هذا الهجوم مستمر منذ مطلع 2024 ويُشكّل تهديدًا حقيقيًا للمستخدمين"، وفق بوزان وكالينين.
"وعلى عكس SparkCat، فإن SparkKitty لا يُميز في الصور التي يسرقها."
جنوب شرق آسيا والصين المستهدف الرئيسي
خلصت كاسبرسكي إلى أن المستهدفين الرئيسيين هم مستخدمو جنوب شرق آسيا والصين، بالنظر إلى التطبيقات المصابة.
"لكن لا توجد أي قيود تقنية تمنع الهجوم على مستخدمين في مناطق أخرى."