بدافزار جدید در گوگل پلی و اپ استور: خطر سرقت عبارات بازیابی کیف پول!

برخی از اپلیکیشن‌های موجود در فروشگاه‌های گوگل پلی اندروید و اپ استور اپل، حاوی یک کیت توسعه نرم‌افزار (SDK) مخرب هستند که با استفاده از سرقت‌کننده‌های تشخیص کاراکتر نوری (OCR)، عبارت بازیابی کیف پول‌های ارز دیجیتال را سرقت می‌کند.

به گزارش میهن بلاکچین، کمپین مربوطه با نام SparkCat شناخته می‌شود و به نظر می‌رسد توسعه‌دهندگان این برنامه‌ها، ناخواسته در این عملیات شرکت داشته‌اند. پیش از این نیز وجود چنین بدافزارهایی در اکوسیستم اندروید دیده شده بود، اما این اولین‌باری است که چنین برنامه‌هایی توانایی نفوذ به اکوسیستم اپل را پیدا کرده‌اند.

چارچوب مخرب Spark و سرقت ارزهای دیجیتال

بر اساس گزارش کسپرسکی (Kaspersky)، تنها در گوگل پلی، جایی که آمار دانلود برنامه‌ها به‌صورت عمومی قابل مشاهده است، برنامه‌های آلوده بیش از ۲۴۲,۰۰۰ بار دانلود شده‌اند. کسپرسکی در این رابطه توضیح داده است:

ما برنامه‌های اندروید و iOS مختلفی را شناسایی کردیم که دارای یک چارچوب مخرب برای سرقت عبارات بازیابی کیف پول‌های ارز دیجیتال بودند. برخی از این برنامه‌ها در گوگل پلی و اپ استور نیز در دسترس بودند. این اولین مورد شناخته‌شده‌ای است که یک بدافزار سرقت‌کننده در فروشگاه اپل کشف می‌شود.

چارچوب یا SDK مخرب موجود در برنامه‌های آلوده اندروید از یک مؤلفه مخرب جاوا به نام Spark استفاده می‌کند که در ظاهر یک ماژول تجزیه‌ و تحلیل داده‌ها ظاهر می‌شود. این بدافزار از فایل پیکربندی رمزگذاری‌شده‌ای که در GitLab ذخیره شده استفاده می‌کند تا فرمان‌ها و به‌روزرسانی‌های عملیاتی را دریافت کند.

در پلتفرم iOS، این چارچوب با نام‌های Gzip یا googleappsdk و stat شناخته می‌شود و از یک ماژول شبکه مبتنی بر Rust به نام im_net_sy برای مدیریت ارتباط با سرورهای فرمان و کنترل (C2) بهره می‌برد. این ماژول از Google ML Kit OCR برای استخراج متن از تصاویر ذخیره‌شده روی دستگاه استفاده می‌کند تا عبارات بازیابی کیف پول‌های ارز دیجیتال را شناسایی کند. مهاجمان با استفاده از این اطلاعات می‌توانند بدون نیاز به رمز عبور، کیف پول‌های کاربران را روی دستگاه‌های خود بارگذاری کنند. کسپرسکی توضیح می‌دهد:

این مؤلفه مخرب، مدل‌های OCR مختلفی را بر اساس زبان سیستم بارگیری می‌کند تا کاراکترهای لاتین، کره‌ای، چینی و ژاپنی را از تصاویر تشخیص دهد. سپس SDK اطلاعات مربوط به دستگاه را به سرور فرمان ارسال می‌کند و پاسخی دریافت می‌کند که عملکرد بعدی بدافزار را تنظیم می‌کند.

آدرس‌های URL استفاده شده برای اتصال به سرورهای فرمان و کنترل - منبع: Kaspersky — آدرس‌های URL استفاده شده برای اتصال به سرورهای فرمان و کنترل – منبع: Kaspersky

این بدافزار با جستجوی کلمات کلیدی خاص در زبان‌های مختلف، تصاویر حاوی اطلاعات حساس را پیدا می‌کند. این کلمات کلیدی بسته به منطقه جغرافیایی (اروپا، آسیا و غیره) تغییر می‌کنند. کسپرسکی اشاره می‌کند که برخی از برنامه‌های آلوده، کاربران مناطق خاصی را هدف قرار داده‌اند، اما احتمال فعالیت آن‌ها در خارج از این مناطق نیز رد نمی‌شود.

برنامه‌های آلوده

بر اساس گزارش کسپرسکی، ۱۸ برنامه اندروید و ۱۰ برنامه iOS آلوده شناسایی شده‌اند و بسیاری از آن‌ها همچنان در فروشگاه‌های اپلیکیشن رسمی در دسترس هستند. یکی از برنامه‌های گزارش‌شده توسط کسپرسکی، ChatAi برای اندروید است که بیش از ۵۰,۰۰۰ بار دانلود شده بود. این برنامه دیگر در گوگل پلی در دسترس نیست.

برنامه حذف‌شده ChatAi که بیش از ۵۰,۰۰۰ بار دانلود شده بود - منبع: Kaspersky — برنامه حذف‌شده ChatAi که بیش از ۵۰,۰۰۰ بار دانلود شده بود – منبع: Kaspersky

اگر هر یک از این برنامه‌ها را روی دستگاه خود نصب کرده‌اید، توصیه می‌شود بلافاصله آن را حذف کنید و از یک ابزار آنتی‌ویروس برای اسکن بدافزارهای باقی‌مانده‌ استفاده کنید. همچنین ریست فکتوری دستگاه نیز می‌تواند به‌عنوان یک اقدام ایمنی در نظر گرفته شود.

در حالت کلی، ذخیره عبارات بازیابی کیف پول ارز دیجیتال در قالب اسکرین‌شات اقدامی بسیار خطرناک است و باید از آن اجتناب کرد. به‌جای آن، بهتر است این عبارات را در مدیاهای آفلاین فیزیکی، دستگاه‌های ذخیره‌سازی رمزگذاری‌شده قابل حمل و یا در گاوصندوق‌های مدیریت رمز عبور آفلاین ذخیره کنید.