هشدار درباره بدافزار جدید؛ سرقت اسکرین شات عبارات بازیابی کیف پول‌های کریپتویی

شرکت امنیت سایبری Kaspersky نسبت به بدافزار جدیدی به نام SparkKitty هشدار داده که عکس‌ها (اسکرین شات‌ها) را از دستگاه‌های آلوده سرقت می‌کند تا در بین آن‌ها به عبارت بازیابی کیف پول‌های کریپتویی دست پیدا کند.

به گزارش میهن بلاکچین، سرگئی پوزان (Sergey Puzan) و دیمیتری کالینین (Dmitry Kalinin)، تحلیل‌گران Kaspersky، روز دوشنبه در گزارشی اعلام کردند که SparkKitty دستگاه‌های مبتنی بر iOS و اندروید را هدف قرار داده و با نفوذ به برخی اپلیکیشن‌های موجود در فروشگاه‌های App Store اپل و Google Play فعالیت می‌کند.

بدافزارهایی که تمرکزشان بر ارزهای دیجیتال است

به‌ محض آلوده شدن یک دستگاه، این بدافزار تمام تصاویر موجود در گالری را سرقت می‌کند. تیم Kaspersky اظهار داشت:

ما حدس می‌زنیم هدف اصلی مهاجمان، یافتن اسکرین‌شات‌های حاوی عبارت بازیابی کیف پول‌های کریپتویی باشد؛ اما ممکن است داده‌های حساس دیگری نیز در میان تصاویر سرقت‌شده وجود داشته باشد.

دو اپلیکیشنی که Kaspersky به‌عنوان حامل‌های این بدافزار شناسایی کرده، با محوریت ارزهای دیجیتال طراحی شده‌اند. یکی از آن‌ها اپلیکیشنی به نام 币coin است که خود را به‌عنوان ردیاب اطلاعات کریپتویی معرفی می‌کرده و در App Store قرار داشت.

اپلیکشین دوم، پیام‌رسانی به نام SOEX بود که قابلیت‌های «مربوط به صرافی ارز دیجیتال» داشت و در Google Play منتشر شده بود. پوزان و کالینین گفتند:

این اپلیکیشن در Google Play بارگذاری شده و بیش از ۱۰,۰۰۰ بار نصب شده بود؛ ما گوگل را از وجود این برنامه مطلع کردیم و آن را از فروشگاه حذف کردند.

سخنگوی گوگل نیز تأیید کرد که این اپلیکیشن از Google Play حذف شده و حساب توسعه‌دهنده آن نیز مسدود شده است. وی افزود:

کاربران اندرویدی، صرف‌نظر از اینکه اپلیکیشن را از کجا دانلود کرده باشند، به‌صورت خودکار توسط سیستم Google Play Protect محافظت می‌شوند؛ این قابلیت به‌طور پیش‌فرض در دستگاه‌های اندرویدی دارای سرویس‌های Google Play فعال است.

تحلیل‌گران Kaspersky همچنین نمونه‌هایی از توزیع SparkKitty از طریق اپلیکیشن‌های پیش‌بینی و نسخه‌های تقلبی شبکه اجتماعی TikTok را کشف کرده‌اند.

شباهت زیاد این بدافزار به SparkCat

این بدافزار شباهت زیادی به SparkCat دارد که در جریان یکی از تحقیقات Kaspersky در ماه ژانویه (دی ۱۴۰۳) شناسایی شده بود. آن بدافزار نیز تصاویر گالری کاربران را اسکن می‌کرد تا عبارات بازیابی کیف پول ارز دیجیتال آن‌ها را پیدا کند.

پوزان و کالینین معتقدند که به احتمال زیاد هر دو نسخه این بدافزار منشأ یکسانی دارند؛ زیرا ویژگی‌های مشابهی دارند و مسیر فایل‌های مشابهی را از سیستم‌های مهاجمان در خود جای داده‌اند. آن‌ها افزودند:

این کمپین از نظر فنی یا مفهومی پیچیده نیست، اما از اوایل سال ۲۰۲۴ تاکنون در حال اجراست و تهدیدی جدی‌ برای کاربران محسوب می‌شود.

برخلاف SparkCat که پیش‌تر شناسایی شده بود، این بدافزار در انتخاب عکس‌هایی که از گالری سرقت می‌کند، وسواس خاصی ندارد.

بر اساس یافته‌های Kaspersky، هدف اصلی این کمپین بدافزاری کاربران آسیای جنوب شرقی و چین هستند؛ زیرا اپلیکیشن‌های آلوده‌شده شامل بازی‌های چینی، TikTok و … می‌شوند. پوزان و کالینین گفتند:

با توجه به منابع توزیع، این بدافزار عمدتاً کاربران آسیای جنوب شرقی و چین را هدف قرار داده است؛ با این حال، از نظر فنی هیچ محدودیتی وجود ندارد که مانع حمله آن به کاربران سایر مناطق شود.