برای اولین بار یک بدافزار با قابلیت خواندن صفحه در iOS کشف شد

بر اساس گزارش کسپرسکی، بدافزاری که شامل کدی برای خواندن محتویات اسکرین‌شات‌ها است، برای اولین بار در اپلیکیشن های مشکوک اپ استور پیدا شده است.

این بدافزار که SparkCat نام دارد، دارای قابلیت‌های OCR برای حذف اطلاعات حساسی است که کاربر آیفون از آن اسکرین‌شات گرفته است. برنامه‌هایی که کسپرسکی کشف کرده است با هدف یافتن عبارات بازیابی کیف پول‌های رمزنگاری شده است که به مهاجمان اجازه می‌دهد بیت کوین و سایر ارزهای دیجیتال را سرقت کنند.

این برنامه‌ها شامل یک ماژول مخرب هستند که از یک پلاگین OCR ایجاد شده با کتابخانه ML Kit متعلق به گوگل برای تشخیص متن موجود در تصاویر در آیفون استفاده می‌کند. هنگامی که یک تصویر مرتبط از یک کیف پول رمزنگاری پیدا می‌شود، به سروری که مهاجم به آن دسترسی دارد ارسال می‌شود.

به گفته کسپرسکی، اسپارک‌کت از حدود مارس (اسفند ماه ۱۴۰۲) فعال بوده است. در همین راستا بدافزار مشابهی در سال ۲۰۲۳ کشف شد که دستگاه‌های اندروید و رایانه شخصی را هدف قرار می‌داد، اما اکنون به iOS نیز سرایت کرده است. کسپرسکی چندین برنامه اپ استور را با نرم افزارهای جاسوسی OCR، از جمله ComeCome، WeTink و AnyGPT شناسایی کرده، اما مشخص نیست که آیا این آلودگی یک اقدام عمدی از سوی توسعه‌دهندگان بوده یا نتیجه یک حمله از طرف زنجیره تامین بوده است.

برنامه‌های آلوده پس از دانلود، اجازه دسترسی به عکس‌های کاربر را می‌خواهند و در صورت دریافت مجوز، از عملکرد OCR برای مرتب‌سازی تصاویر به ‌دنبال متن مرتبط استفاده می‌کنند. تعدادی از برنامه‌ها هنوز در اپ استور هستند و به نظر می‌رسد کاربران iOS در اروپا و آسیا را هدف قرار می‌دهند.

در حالی که هدف این برنامه‌ها سرقت اطلاعات کریپتو است، کسپرسکی می‌گوید که این بدافزار به اندازه‌ای انعطاف‌پذیر است که می‌توان از آن برای دسترسی به سایر داده‌های گرفته ‌شده در اسکرین‌شات‌ها، مانند گذرواژه‌ها، نیز استفاده کرد. هرچند که موضوعات مشابه این، در فروشگاه گوگل پلی برای برنامه‌های اندروید زیاد پیش می‌آید، اما کاربران iOS اغلب انتظار دارند دستگاه‌هایشان در برابر بدافزار مقاوم باشد.

اپل همه برنامه‌های موجود در اپ استور را بررسی می‌کند و وجود یک برنامه مخرب نشان‌دهنده شکست فرآیند بررسی برنامه‌های اپل است. در این مورد به نظر نمی‌رسد نشانه آشکاری از وجود یک تروجان در برنامه وجود داشته باشد و مجوزهایی که درخواست می‌کند برای عملکرد اصلی مورد نیاز هستند.

کسپرسکی پیشنهاد می‌کند که کاربران برای در امان ماندن از این نوع حمله، از ذخیره اسکرین‌شات‌ها با اطلاعات حساس مانند مراحل بازیابی کیف پول ارزهای دیجیتال در Photo Library خودداری کنند.