«Лаборатория Касперского»: в Россию вернулся опасный троян SparkCat

SparkCat запрашивает доступ к фото в галерее и с помощью оптического распознавания символов ищет на снимках фразы для раскрытия паролей от криптокошельков. Найденные изображения отправляются злоумышленникам. В текущем исследовании выявлено два заражённых приложения в App Store и одно в Google Play (последнее уже удалено), то есть в App Store и на сторонних ресурсах троян ещё «висит». Некоторые сайты, маскирующиеся под App Store, также распространяют вирус.

Анализ показал, что версия для Android нацелена преимущественно на пользователей в Азии и распознаёт ключевые слова на японском, корейском и китайском. Вариант для iOS, напротив, ищет фразы на английском, что расширяет географию атак. Это говорит о том, что авторы адаптируют вредонос под разные рынки. Однако это говорит и об опасности для российских пользователей, скачивающих англоязычные аппы.

Как отметил эксперт по кибербезопасности «Лаборатории Касперского» Сергей Пузан, обновлённый SparkCat использует обфускацию, виртуализацию кода и кроссплатформенные технологии — редкость для мобильных зловредов, что указывает на высокий уровень подготовки разработчиков. Эксперты предполагают, что нынешняя версия создана теми же авторами, что и предыдущая. Пользователям рекомендуют внимательно следить за запросами приложений на доступ к галерее и не устанавливать программы из сомнительных источников.

«Обновленный вариант SparkCat, как и первая версия, в определенных сценариях запрашивает доступ к просмотру фотографий в галерее смартфона. Троянец анализирует текст на изображениях с помощью технологии оптического распознавания символов. Обнаружив релевантные ключевые слова, он отправляет изображение злоумышленникам. Сходство текущего образца с предыдущей версией позволяет предположить, что за их разработкой стоят одни и те же авторы», — подчеркнул эксперт.