Apple та Google витягнули аж 20 додатків із відповідних магазинів додатків після того, як дослідники безпеки виявили, що додатки майже рік перевозять зловмисне програмне забезпечення.
Дослідники безпеки в Касперському заявили, що зловмисне програмне забезпечення, яке називають Sparkcat, активно працювало з березня 2024 року. Спочатку дослідники виявили шкідливі рамки в додатку доставки продуктів харчування, що використовується в Об'єднаних Арабських Еміратах та Індонезії, але пізніше виявили зловмисне програмне забезпечення на 19 інших, непов'язаних додатках , які, за їхніми словами, були накопичуватися більше 242 000 разів через ігровий магазин Google.
Використання коду, розробленого для зйомки тексту, видимого на дисплеї користувача – відомого як оптичне розпізнавання символів (OCR) – дослідники виявили, що зловмисне програмне забезпечення сканувало галереї зображень на пристроях жертв для ключових слів, щоб знайти фрази для відновлення для гаманців криптовалют на різних мовах, включаючи англійську мову, Китайська, японська та корейська.
Використовуючи зловмисне програмне забезпечення для захоплення фраз для відновлення жертви, зловмисники можуть отримати повний контроль над гаманцем жертви та вкрасти свої кошти, виявили дослідники.
Зловмисне програмне забезпечення також може дозволити вилучення особистої інформації з скріншотів, таких як повідомлення та паролі, зазначають дослідники.
Отримавши звіт від дослідників, Apple витягнула компрометовані програми з магазину додатків минулого тижня, а потім Google.
“Усі ідентифіковані програми були видалені з Google Play, і розробники були заборонені”, – заявив речник Google Ед Фернандес.
Прес-секретар Google також підтвердив, що користувачі Android захищені від відомих версій цього зловмисного програмного забезпечення через вбудовану функцію безпеки Google Play Protect.
Apple не відповіла на запити про коментарі.
Прес-секретар Касперського Розмарі Гонсалес заявила TechCrunch, що, хоча повідомлені додатки були витягнуті з офіційних магазинів додатків, дані телеметрії компанії припускають, що зловмисне програмне забезпечення також доступні на інших веб-сайтах та магазинах неофіційних додатків.
