Kaspersky descoperă o nouă variantă SparkCat care ocoleşte sistemele de securitate App Store şi Google Play

Kaspersky Threat Research a identificat o nouă variantă a troianului SparkCat în App Store şi în Google Play - la un an după ce malware-ul care fură criptomonede a fost descoperit pentru prima dată şi eliminat de pe ambele platforme.

Troianul se ascunde în aplicaţii cu aspect legitim şi scanează galeriile foto ale utilizatorilor pentru fraze de recuperare ale portofelelor de criptomonede.

Noua versiune SparkCat este distribuită prin aplicaţii legitime infectate - aplicaţii de mesagerie destinate comunicării enterprise şi o aplicaţie de livrare de mâncare. Experţii Kaspersky au găsit două aplicaţii infectate în App Store şi una în Google Play, din care codul maliţios a fost, între timp, eliminat. Telemetria Kaspersky arată că aplicaţiile infectate cu SparkCat sunt distribuite şi prin surse terţe. Unele dintre aceste pagini web imită App Store, dacă sunt deschise de pe un iPhone.

Varianta actualizată a troianului pentru Android scanează galeriile de imagini de pe dispozitivele compromise pentru capturi de ecran care conţin cuvinte-cheie specifice în japoneză, coreeană şi chineză, ceea ce îi determină pe experţii Kaspersky să considere că această campanie vizează în principal activele de criptomonede ale utilizatorilor din Asia. Varianta pentru iOS, însă, adoptă o abordare diferită, deoarece caută fraze mnemonice ale portofelelor de criptomonede, care sunt în limba engleză. Acest lucru face ca varianta iOS să aibă un potenţial de acoperire mai larg, putând afecta utilizatori din orice regiune.

Versiunea actualizată SparkCat pentru Android include mai multe straturi de escamotare comparativ cu versiunile anterioare, inclusiv virtualizarea codului şi utilizarea unui limbaj de programare cross-platform - tehnici rare pentru malware-ul mobil.

Kaspersky a raportat aplicaţiile maliţioase cunoscute către Google şi Apple.