في تطور جديد ضمن مجال الأمن السيبراني، تم الكشف عن حملة برمجيات خبيثة جديدة تُعرف باسم “SparkCat”، والتي استهدفت منصات التطبيقات الخاصة بشركتي أبل وجوجل. تهدف هذه الحملة إلى سرقة العبارات الاستذكار (Mnemonic Phrases) المرتبطة بمحافظ العملات المشفرة عبر استخدام تطبيقات زائفة.

تحليل الحملة واستراتيجيات الهجوم

تستند هذه الحملة إلى استخدام نموذج التعرف الضوئي على الحروف (OCR) لاستخراج صور تحتوي على عبارات استذكار من مكتبات الصور الخاصة بالضحايا وإرسالها إلى خادم التحكم (C2). وفقًا للباحثين في كاسبرسكي، ديمتري كالينين وسيرجي بوزان، فإن هذه البرمجية الخبيثة تستغل حزمة تطوير برمجيات مدمجة (SDK) تستخدم مكون جافا يُعرف باسم “Spark” يتظاهر بأنه وحدة تحليلية.

الجدير بالذكر أن الهجمات باستخدام تقنية التعرف الضوئي على الحروف ليست جديدة على نظام أندرويد، ولكنها المرة الأولى التي تُكتشف فيها في متجر تطبيقات أبل. وقد تم تحميل التطبيقات المصابة على متجر جوجل بلاي أكثر من 242,000 مرة.

تأثيرات الحملة والتهديدات الأمنية

تمتد هذه الحملة منذ مارس 2024، حيث كانت التطبيقات تُوزع عبر متاجر التطبيقات الرسمية وغير الرسمية، متخفية كأنها تطبيقات للذكاء الاصطناعي وتسليم الطعام وWeb3. لاحظ الباحثون أن التطبيقات المصابة بنظام أندرويد تفك تشفير وتطلق مكون التعرف الضوئي على الحروف باستخدام مكتبة ML Kit من جوجل.

أما بالنسبة لنظام iOS، تعتمد البرمجية الخبيثة “SparkCat” على مكتبة ML Kit أيضًا لسرقة الصور. ومن السمات البارزة للبرمجية استخدامها لآلية اتصال مبنية على لغة Rust، وهي ميزة نادرة في تطبيقات الهواتف المحمولة.

تحليل المناطق المستهدفة والمهاجمين

تشير التحليلات إلى أن الحملة تستهدف بشكل رئيسي مستخدمي أوروبا وآسيا، ويُعتقد أن الجهة المهاجمة تتحدث اللغة الصينية بطلاقة. ما يجعل هذا التروجان خطيرًا بشكل خاص هو عدم وجود مؤشر على وجود زراعة خبيثة داخل التطبيق، حيث تبدو الأذونات المطلوبة كأنها ضرورية لوظائف التطبيق الأساسية أو غير ضارة.

حالات مشابهة واتجاهات مستقبلية

في سياق مشابه، قامت شركة Zimperium zLabs بتفصيل حملة برمجيات خبيثة أخرى تستهدف مستخدمي أجهزة أندرويد في الهند، حيث يتم توزيع ملفات APK خبيثة عبر تطبيق واتساب تحت غطاء تطبيقات بنكية وحكومية. تستغل هذه الحملة أرقام هواتف مبرمجة مسبقًا كنقاط تصدير لرسائل SMS وكلمات المرور المؤقتة (OTPs).

تشير هذه الأحداث إلى أهمية التحقق من التطبيقات وكود البرامج جيدًا، بما في ذلك مراجعة التعليقات وفحص مصداقية المطورين قبل التحميل، حتى لو كانت التطبيقات مُقدمة عبر متاجر التطبيقات الرسمية.

خاتمة ونقاش

ما هي الخطوات التي يجب على المستخدمين اتخاذها لحماية أنفسهم من مثل هذه التهديدات؟ وكيف يمكن تعزيز الوعي الأمني السيبراني لدى المستخدمين العاديين؟