No reino dos smartphones, o ecossistema da Apple é considerado o mais seguro. A análise independente de especialistas em segurança também provou que o ponto repetidamente ao longo dos anos. Mas os corrimãos da Apple não são impenetráveis. Pelo contrário, parece que os maus atores conseguiram mais um avanço preocupante.
De acordo com uma análise da Kaspersky, malware com recursos de reconhecimento de caracteres ópticos (OCR) foi visto na App Store pela primeira vez. Em vez de roubar arquivos armazenados em um telefone, o malware digitalizou as capturas de tela armazenadas localmente, analisou o conteúdo do texto e transmitiu as informações necessárias aos servidores.
A operação de semeaddade de malware, codinome “Sparkcat”, os aplicativos direcionados de repositórios oficiais-a loja de play da Google e a App Store da Apple-e fontes de terceiros. Os aplicativos infectados acumularam aproximadamente um quarto de milhão de downloads em ambas as plataformas.
Kaspersky
Curiosamente, o malware se encaixou no topo da biblioteca de kits ML do Google, um kit de ferramentas que permite aos desenvolvedores implantar recursos de aprendizado de máquina para processamento de dados rápido e offline em aplicativos. Este sistema de kit ML é o que, em última análise, permitiu que o modelo do Google OCR digitalizasse fotos armazenadas em um iPhone e reconheça o texto contendo informações confidenciais.
Ative o JavaScript para visualizar este conteúdo
Mas parece que o malware não era apenas capaz de roubar códigos de recuperação relacionados a criptografia. “Deve -se notar que o malware é flexível o suficiente para roubar não apenas essas frases, mas também outros dados confidenciais da galeria, como mensagens ou senhas que podem ter sido capturadas nas capturas de tela”, diz o relatório de Kaspersky.
Entre os aplicativos direcionados para iPhone estava o Comecome, que parece ser um aplicativo de entrega de alimentos chinês na superfície, mas foi carregado com um malware de leitura de captura de tela. “Este é o primeiro caso conhecido de um aplicativo infectado com spyware OCR encontrado no mercado oficial de aplicativos da Apple”, observa a análise de Kaspersky.
Kaspersky
No entanto, não está claro se os desenvolvedores desses aplicativos problemáticos estavam envolvidos na incorporação do malware ou se foi um ataque da cadeia de suprimentos. Independentemente da origem, todo o oleoduto era bastante discreto, pois os aplicativos pareciam legítimos e atendiam a tarefas como mensagens, aprendizado de IA ou entrega de alimentos. Notavelmente, o malware de plataforma cruzada também foi capaz de ofuscar sua presença, o que dificultava a detecção.
O objetivo principal desta campanha foi extrair frases de recuperação de carteira criptográfica, que podem permitir que um ator ruim assumisse a carteira de criptografia de uma pessoa e se safada de seus ativos. As zonas -alvo parecem ser Europa e Ásia, mas alguns dos aplicativos da lista quente parecem estar operando na África e outras regiões também.
