Kaspersky Eggheads dit qu’ils ont repéré la première application contenant des logiciels espions de reconnaissance de caractères optiques cachés dans l’App Store d’Apple. Cunningly, le logiciel Nasty est conçu pour voler la crypto-monnaie.
Les chercheurs ont trouvé le malware dans une application iOS appelée Comecome, qui est également disponible auprès de Google’s Play Store, et prétend offrir des services de livraison de nourriture. Selon Dmitry Kalinin de Kaspersky et Sergey Puzan, l’application livre également les clés des avoirs cryptographiques des victimes aux escrocs.
L’application peut le faire comme, Selon les analystes de Kaspersky Cette semaine, il est «intégré à un SDK / cadre malveillant» qui à un moment non spécifié décrypte un plugin de reconnaissance de caractères optiques (OCR). Une fois que le code OCR est en cours d’exécution, l’application prévoit des captures d’écran sur les appareils mobiles dans l’espoir que certains incluent des phrases de récupération de portefeuille de crypto-monnaie, alias des phrases de graines, que l’OCR extrait et que les logiciels espions exfiltront.
Avec ces phrases de graines volées en main, les cerveaux de l’application peuvent prendre le contrôle des portefeuilles des victimes et en transférer des fonds. C’est pourquoi votre phrase de semence doit être gardée secrète, hors ligne et non comme image sur votre téléphone.
“Notre enquête a révélé que les attaquants visaient des phrases de récupération de portefeuille crypto, qui étaient suffisantes pour prendre le contrôle total du portefeuille de crypto d’une victime pour voler les fonds”, a déclaré l’équipe Kaspersky a écrit.
“Malheureusement, malgré le dépistage rigoureux des marchés officiels et la sensibilisation générale aux escroqueries de vol de portefeuille crypto-basées sur OCR, les applications infectées ont toujours trouvé leur chemin dans Google Play et l’App Store”, a ajouté le duo, avant de noter que les applications ont peut-être éludé les chèques Parce qu’ils offrent «aucune indication d’un implant malveillant caché dans l’application» et peuvent sembler inoffensifs.
“Cette affaire brise une fois de plus le mythe selon lequel iOS est en quelque sorte imperméable aux menaces posées par des applications malveillantes”, ont-ils déclaré.
Le duo a surnommé le malware Sparkcat de la graine et l’a noté “est suffisamment flexible pour voler non seulement ces phrases mais aussi d’autres données sensibles de la galerie, telles que des messages ou des mots de passe qui auraient pu être capturés dans des captures d’écran”.
L’effort de vol de crypto-monnaie cible “au minimum” les utilisateurs d’Android et d’iOS en Europe et en Asie, explique l’équipe Kaspersky. Plus d’une application dans le Google Play Store contient Sparkcat, nous dit-on, et ceux-ci ont été téléchargés plus de 242 000 fois. Ni Google ni Apple n’ont répondu Le registreles demandes de commentaire.
Les analystes ne peuvent pas confirmer si SparkCAT a été glissé dans ces applications dans une attaque de chaîne d’approvisionnement ou en tant qu’acte délibéré par les développeurs des applications. Apple a supprimé la Malecious Copecome Application de la boutique iOS, explique Kaspersky. Nous notons qu’il a également disparu de Google Play avec d’autres personnes nommées par le laboratoire russe.
SparkCAT fait référence à un module hautement obscurci appelé Spark dans les applications malveillantes. Le logiciel espion est principalement écrit en Java et utilise un protocole non identifié implémenté dans Rust pour communiquer avec son serveur de commande et de contrôle (C2) distant.
Après avoir été connecté à son serveur C2, la version Android de Spark Downloads et utilise un wrapper pour le TexTrecognizer interface Dans la bibliothèque de kit ML de Google pour effectuer l’extraction des personnages à partir d’images. Le malware charge différents modèles OCR en fonction de la langue du système qui reconnaît les caractères latins, coréens, chinois ou japonais en images.
Si une marque s’engage avec l’équipe d’assistance d’une application empoisonnée – les interactions rendues possibles avec le SDK légitime de tiers easemob helpdesk – le logiciel demande l’accès à la galerie de photos de l’appareil. Si l’accès est accordé, il analyse les captures d’écran à l’aide de l’OCR pour extraire des phrases de récupération de portefeuille cryptographique et les envoie au serveur C2.
Les développeurs de l’application espèrent donc que les utilisateurs feront deux choses: accorder l’accès à la galerie après avoir pris des captures d’écran des phrases de récupération. Malheureusement, il semble qu’il y ait suffisamment d’utilisateurs qui feront ces erreurs pour faire l’effort de créer ces applications utiles. ®
#Apple #autorisé #lire #les #logiciels #malveillants #sur #lApp #Store #registre