hacker (Unsplash)

چکیده

  • نرم‌افزار جاسوسی جدیدی به نام SparkKitty وارد فروشگاه‌های اپلیکیشن شده و اطلاعات پایه کیف پول‌ها را هدف قرار داده است.
  • SparkKitty با استفاده از فریم‌ورک‌ها و کتابخانه‌های تغییر یافته، داده‌های حساس را از دستگاه‌های iOS و اندروید استخراج می‌کند.
  • با وجود حذف این بدافزار از فروشگاه‌ها، کمپین آن ممکن است از طریق نسخه‌های جانبی و فروشگاه‌های مشابه ادامه یابد و تهدیدی جهانی ایجاد کند.

ورود بدافزار SparkKitty به فروشگاه‌های اپلیکیشن

یک نوع جدید از نرم‌افزارهای جاسوسی موبایل به نام SparkKitty، به فروشگاه‌های اپ استور و گوگل پلی نفوذ کرده و با عنوان اپلیکیشن‌های مرتبط با کریپتو ظاهر می‌شود تا به صورت مخفیانه تصاویر عبارات کلیدی و داده‌های کیف پول را استخراج کند.

این بدافزار به نظر می‌رسد جانشین SparkCat باشد، که در اوایل سال ۲۰۲۵ کشف شد و از ماژول‌های جعلی پشتیبانی چت برای دسترسی بی‌سر و صدا به گالری کاربران استفاده می‌کرد تا اسکرین‌شات‌های حساس را استخراج کند.

SparkKitty این استراتژی را چندین مرحله پیشرفته‌تر کرده است. به گفته محققان کسپرسکی، این بدافزار در روز دوشنبه مورد بررسی قرار گرفت.

ورود SparkKitty به اپلیکیشن‌های رسمی

برخلاف SparkCat که عمدتاً از طریق بسته‌های غیررسمی اندروید گسترش می‌یابد، SparkKitty در چندین اپلیکیشن iOS و اندروید موجود در فروشگاه‌های رسمی تأیید شده است، از جمله یک اپلیکیشن پیام‌رسان با ویژگی‌های تبادل کریپتو (بیش از ۱۰,۰۰۰ نصب در گوگل پلی) و یک اپلیکیشن iOS به نام “币coin” که به عنوان یک ردیاب پورتفولیو جعل شده است.

(Securelist)

(Securelist)

روش‌های فنی SparkKitty

در قلب نسخه iOS، نسخه‌ای تسلیحاتی از فریم‌ورک‌های AFNetworking یا Alamofire قرار دارد که مهاجمان یک کلاس سفارشی را در آن تعبیه کرده‌اند که به طور خودکار هنگام راه‌اندازی اپلیکیشن اجرا می‌شود.

در شروع به کار، این بدافزار یک مقدار پیکربندی پنهان را بررسی کرده، یک آدرس فرمان و کنترل (C2) را بازیابی می‌کند و گالری کاربر را اسکن کرده و شروع به آپلود تصاویر می‌کند. آدرس C2 به بدافزار دستور می‌دهد که چه کاری انجام دهد، مانند زمان سرقت داده‌ها یا ارسال فایل‌ها و اطلاعات سرقت شده را بازمی‌گرداند.

نسخه اندروید از کتابخانه‌های جاوای تغییر یافته برای دستیابی به همین هدف استفاده می‌کند. با استفاده از کیت ML گوگل برای تجزیه تصاویر OCR اعمال می‌شود. اگر یک عبارت کلیدی یا کلید خصوصی شناسایی شود، فایل علامت‌گذاری شده و به سرورهای مهاجم ارسال می‌شود.

حملات به کاربران iOS و اندروید

نصب بر روی iOS از طریق پروفایل‌های ارائه‌دهنده سازمانی انجام می‌شود، روشی که برای اپلیکیشن‌های داخلی سازمانی طراحی شده اما اغلب برای بدافزارها سوءاستفاده می‌شود.

(Securelist)

(Securelist)

قربانیان به‌طور دستی فریب داده می‌شوند تا یک گواهی توسعه‌دهنده مرتبط با “SINOPEC SABIC Tianjin Petrochemical Co. Ltd.” را مورد اعتماد قرار دهند، که به SparkKitty اجازه می‌دهد سطح سیستم را دسترسی داشته باشد.

تحولات اخیر در حملات SparkKitty

چندین آدرس C2 از فایل‌های پیکربندی رمزگذاری شده AES-256 استفاده می‌کنند که بر روی سرورهای مبهم میزبانی می‌شوند.

پس از رمزگشایی، آن‌ها به محل‌های دریافت بارگذاری و نقاط انتهایی، مانند /api/putImages و /api/getImageStatus، اشاره می‌کنند، جایی که اپلیکیشن تعیین می‌کند که آیا باید عکس‌ها را آپلود کند یا ارسال آن‌ها را به تأخیر بیندازد.

محققان کسپرسکی نسخه‌های دیگری از بدافزار را کشف کردند که از یک کتابخانه OpenSSL جعلی (libcrypto.dylib) با منطق اولیه مبهم استفاده می‌کنند، که نشان‌دهنده توسعه ابزارها و مسیرهای توزیع متعدد است.

در حالی که بیشتر اپلیکیشن‌ها به نظر می‌رسد کاربران چین و آسیای جنوب شرقی را هدف قرار داده‌اند، هیچ‌چیزی در بدافزار وجود ندارد که محدوده جغرافیایی آن را محدود کند.

اپل و گوگل پس از افشای این موارد، اپلیکیشن‌های مذکور را حذف کرده‌اند، اما این کمپین احتمالاً از اوایل سال ۲۰۲۴ فعال بوده و ممکن است هنوز هم از طریق نسخه‌های جانبی و فروشگاه‌های مشابه ادامه داشته باشد.

نوشته‌های مشابه

Moo Deng (Youtube screenshot)

افزایش قیمت میم‌کوین Moo Deng و MEW پس از لیست شدن در رابینهود

تحریریه نوین‌ترند

میم‌کوین‌های Moo Deng و MEW پس از اضافه شدن به پلتفرم رابینهود با افزایش قیمت چشمگیری مواجه شدند. Moo Deng با الهام از میم بچه اسب آبی و MEW در میان هیاهوی میم‌کوین‌های سولانا، به ترتیب به ارزش بازار ۲۳۰ میلیون دلار و ۳۶۸ میلیون دلار دست یافتند.

(Pixabay)

جبران کامل خسارات سیتوس توسط شبکه سوی پس از هک ۲۲۳ میلیون دلاری

تحریریه نوین‌ترند

پروتکل سیتوس، بزرگ‌ترین صرافی غیرمتمرکز در بلاکچین سوی، پس از هک ۲۲۳ میلیون دلاری با دریافت وامی از بنیاد سوی، خسارات کاربران را جبران می‌کند. هکر با استفاده از توکن‌های جعلی، دارایی‌های واقعی را از استخرهای نقدینگی خارج کرد و ۱۶۲ میلیون دلار از توکن‌های سرقتی روی زنجیره منجمد شد. سیتوس قصد دارد با استفاده از وام و ذخایر خود، به‌سرعت جبران خسارت را آغاز کند و در انتظار رأی‌گیری جامعه برای استفاده از دارایی‌های منجمد جهت بازپرداخت کامل است.

Bull image (Coindesk archives)

تاوروس فناوری حریم خصوصی متن‌باز برای استیبل‌کوین‌ها عرضه کرد، آغاز با USDC Circle

تحریریه نوین‌ترند

تاوروس لایه حریم خصوصی مبتنی بر اثبات دانش صفر برای استیبل‌کوین‌ها را معرفی کرد. این فناوری که با USDC سیلک آغاز می‌شود، امنیت و حریم خصوصی را برای مؤسسات مالی بهبود می‌بخشد.

Jeremy Allaire, Co-Founder, Chairman and CEO. (Shutterstock/CoinDesk)

صعود چشمگیر Circle پس از تصویب لایحه استیبل‌کوین به بیش از ۵۰۰٪

تحریریه نوین‌ترند

با تصویب لایحه استیبل‌کوین در سنا، سهام Circle بیش از ۳۴٪ رشد کرد و پس از ساعات معاملاتی افزایش بیشتری داشت. از زمان عرضه اولیه، ارزش سهام این شرکت بیش از ۵۴۰٪ رشد کرده است.

Nayib Bukele asiste a la Asamblea Legislativa por su segundo aniversario en el poder (Foto de Emerson Flores/APHOTOGRAFIA/Getty Images)

تلاش‌ها برای جلوگیری از خرید بیشتر بیت‌کوین توسط السالوادور ادامه دارد

تحریریه نوین‌ترند

صندوق بین‌المللی پول در تلاش است تا مانع افزایش خرید بیت‌کوین توسط السالوادور شود. این کشور با وامی ۳.۵ میلیارد دلاری موافقت کرده، اما رئیس‌جمهور بوکله اعلام کرده که خرید بیت‌کوین ادامه خواهد داشت.

(Pixabay)

رفع نقص جدی در کتابخانه XRPL باگ لجر XRP

تحریریه نوین‌ترند

نقص امنیتی جدی در کتابخانه XRPL باگ لجر XRP شناسایی و برطرف شد. این مشکل که با استفاده از توکن توسعه‌دهنده ایجاد شده بود، می‌توانست شبکه را به خطر بیندازد. با این حال، خدمات مهمی مانند کیف‌پول Xaman و XRPScan تحت تأثیر قرار نگرفتند. بنیاد لجر XRP به سرعت نسخه‌های به‌روز شده ابزارها را منتشر کرد و از پروژه‌ها خواست فوراً به نسخه جدید ارتقا دهند.

دیدگاهتان را بنویسید

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *