كاسبرسكي تحذر من برمجية خبيثة جديدة تستهدف لقطات شاشة عبارات استرداد العملات المشفرة

اكتشفت كاسبرسكي سلالة جديدة من برمجيات التجسس المتنقلة التي تستهدف لقطات الشاشة لعبارات استرداد محافظ العملات المشفرة من معارض الصور في هواتف المستخدمين. انتشرت هذه البرمجية الخبيثة عبر تطبيقات تعمل على أندرويد وآي أو إس، بعضها تمكن من الوصول إلى متاجر التطبيقات الرسمية، بما في ذلك جوجل بلاي وآب ستور.

تُستهدف بشكل رئيسي مستخدمون في جنوب شرق آسيا والصين، ويبدو أن البرمجية الخبيثة الجديدة المسماة SpARkKitty مرتبطة بحملة SparkCat السابقة التي اكتُشفت في يناير. مثل سابقتها، تركز هذه النسخة الجديدة على سرقة الصور التي تحتوي على معلومات حساسة.

تختبئ البرمجية الخبيثة داخل تطبيقات تبدو شرعية، بما في ذلك نسخ معدلة من تيك توك، وتطبيقات تتبع العملات المشفرة، وألعاب القمار، وتطبيقات المحتوى للبالغين. تخدع هذه التطبيقات المستخدمين لتثبيت ملف تعريف مطور خاص، مما يسمح للبرمجية الخبيثة بالعمل خارج آليات الحماية المعتادة للهاتف.

بعد التثبيت، تنتظر البرمجية الخبيثة حتى يفتح المستخدم شاشات محددة (مثل دردشات الدعم) ثم تطلب الوصول إلى معرض الصور. إذا تم منح الإذن، تقوم بمسح الصور بهدوء باستخدام التعرف البصري على الحروف لتحديد وسرقة لقطات الشاشة التي تحتوي على نصوص.

كان للعديد من التطبيقات المزيفة طابع قوي متعلق بالعملات المشفرة، وشملت عدة تطبيقات متاجر تعمل بالعملات المشفرة فقط، مما يشير إلى أن جمع عبارات الاسترداد كان الهدف.

على سبيل المثال، تم اكتشاف تطبيقين في التقارير هما Soex Wallet Tracker وCoin Wallet Pro. تم تنزيل Soex، الذي تظاهر بأنه مدير محفظة بميزات التتبع في الوقت الحقيقي، أكثر من 5000 مرة من جوجل بلاي قبل إزالته.

ظهر تطبيق Coin Wallet Pro، الذي تسوق نفسه على أنه محفظة متعددة السلاسل آمنة، لفترة وجيزة على آب ستور، وحصل على انتشار عبر إعلانات وسائل التواصل الاجتماعي وترويجات تيليجرام قبل إزالته.

أبلغت كاسبرسكي كلًا من آبل وجوجل، وتمت إزالة التطبيقات المتضررة من متاجرهم. قال الباحثون إن الحملة كانت تعمل منذ أبريل 2024 على الأقل، مع وجود عينات تعود إلى فترات أقدم.