ظاهراً اپلیکیشنهای آلوده در اپاستور و گوگلپلی، پس از اسکن کردن عکسها با قابلیت OCR، اقدام به آپلود آنها روی سرورهای غیرمجاز میکردند.
موسسه امنیتی کسپرسکی گزارش داده است که یک کمپین انتشار بدافزار در فروشگاههای اپلیکیشن محبوب اپ استور و گوگل پلی را کشف کرده است که با بررسی عکسهای حافظه قربانیان، بهدنبال کلیدهای امنیتی برای ورود به کیف پولهای مجازی بوده است.
به گزارش دیجیاتو، اپل در سالهای گذشته نسبت به امنیت فروشگاه اپلیکیشنهای خود، توجه ویژهای داشته است و همیشه این موضوع را به عنوان ابزاری برای برتری در مقابل اندروید، استفاده کرده است. با این حال، گزارشهای جدید از سوی محققان امنیتی موسسه کسپرسکی نشان میدهد که حتی اپ استور هم از نفوذ بدافزارها در امان نمانده است و برخی از عناوین موجود روی آن، به سرقت دادههای کاربران میپردازند.
صفحه این اپلیکیشن اکنون در گوگل پلی از دسترس خارج شده است
در مقالهای که از سوی دو پژوهشگر امنیتی تیم کسپرسکی منتشر شده است، ادعا شده که کمپین SparkCat با انتشار اپلیکیشنهای آلوده در گوگل پلی و اپ استور، توانسته گوشی برخی از کاربران را آلوده سازد. با بررسیهای انجامشده روی کدهای این بدافزار، مشخص شده است که با بررسی تصاویر موجود در گالری کاربران، بهدنبال عبارتهای امنیتی برای بازیابی حساب کاربری و ورود به کیف پولهای نگهداری رمز ارز بوده است.
پژوهشگران کسپرسکی اشاره داشتهاند که این کمپین از طریق فروشگاههای رسمی اپلیکیشن و مجاری غیررسمی روی گوشیهای کاربران نصب شده است و توانسته رکورد ۲۴۲ هزار دانلود روی دستگاههای اندرویدی را به ثبت برساند؛ اما دادهای پیرامون میزان گسترش آن در میان محصولات اپل وجود ندارد.
کد مرتبط با فراخوانی قابلیت OCR و جستجوی کلیدواژه در متنهای استخراج شده
ظاهراً اپلیکیشن آلوده با استفاده از کتابخانه ML Kit گوگل به قابلیت OCR مجهز بوده است که میتواند اقدام به استخراج متون از عکسها نماید. تصاویری که دارای متنهای مشابه با کلیدهای امنیتی مرتبط با کیف پولهای مجازی بودهاند، به سرورهای تحت کنترل سارقان ارسال شدهاند. همچنین اشاره شده است که دادههای حساس دیگر مثل رمزهای عبور یا پیامهای شخصی هم در میان تصاویر آپلودشده، وجود داشته است.
درحالحاضر تعدادی اپلیکیشن آلوده از سوی پژوهشگران کسپرسکی بهصورت رسمی اعلام شدهاند که از میان آنها میتوان به برنامه سفارش غذای ComeCome، دستیار هوش مصنوعی ChatAi و اپهای پیامرسان WeTink و AnyGPT اشاره کرد. حتی پس از گذشت چندین ساعت از انتشار گزارش مذکور، همچنان هم برخی از عناوین گفتهشده، روی گوگل پلی و اپ استور حضور دارند. جالب است بدانید که حتی برخی از کاربران در نظرات این اپها، نسبت به آلوده بودن آنها هشدار دادهاند؛ اما بازبینی لازم از سوی ناظرین انجام نگرفته است.
بررسیهای بیشتر نشان میدهد که بدافزار گفتهشده، حداقل از مارس ۲۰۲۴ روی فروشگاههای رسمی اپلیکیشن گوگل و اپل، حضور داشته است؛ اما معلوم نیست که آیا اپلیکیشنهای آلوده از ابتدا به همین منظور طراحی شدهاند یا دچار حمله زنجیره تامین گردیدهاند. همچنین گفته شده است که کاربران اروپایی و آسیایی بیشتر مورد هدف کمپین اخیر بودهاند و توصیه میشود اگر برنامههای اشارهشده را روی دستگاه خود نصب کردهاید، سریعاً اقدام به حذف آن نمایید.
