Cercetătorii în securitate cibernetică au semnalat recent descoperirea unei noi iterații a malware-ului SparkCat, detectată atât pe Apple App Store, cât și pe Google Play Store. Această apariție vine la peste un an de la prima identificare a troianului care a vizat ambele sisteme de operare mobile. Noua variantă demonstrează o evoluție a tehnicilor de ascundere și de operare, indicând o campanie activă și o adaptare continuă a actorilor malițioși din spatele acestei amenințări. Capacitatea sa de a se infiltra în aplicații aparent inofensive reprezintă o provocare semnificativă pentru utilizatorii de smartphone-uri, inclusiv pentru cei din România, care sunt tot mai activi în ecosistemul criptomonedelor.
Malware-ul SparkCat este conceput pentru a se ascunde în aplicații de uz cotidian, cum ar fi mesageriile de afaceri sau serviciile de livrare de mâncare, trecând neobservat de utilizatori. Odată instalat pe dispozitiv, acesta începe să scaneze în mod silențios galeriile foto ale victimelor în căutarea unor imagini care conțin fraze de recuperare ale portofelelor de criptomonede. Aceste fraze, cunoscute și sub denumirea de “seed phrases” sau “mnemonic phrases”, sunt cheile esențiale pentru accesarea și gestionarea fondurilor digitale, iar compromiterea lor echivalează cu pierderea completă a controlului asupra activelor crypto. Metoda de operare ne arată ingeniozitatea atacatorilor de a exploata datele sensibile stocate în mod aparent inofensiv de către utilizatori.
Compania rusă de securitate cibernetică Kaspersky, cea care a documentat pentru prima dată SparkCat în februarie 2025, a identificat două aplicații infectate pe App Store și una pe Google Play Store. Aceste aplicații vizau în principal utilizatorii de criptomonede din Asia. Cu toate acestea, varianta pentru iOS adoptă o abordare mai extinsă, căutând fraze mnemonice în limba engleză. Această particularitate face ca varianta iOS să aibă o anvergură potențial mai mare, putând afecta utilizatori din orice regiune geografică, inclusiv din Europa și, implicit, din România, indiferent de limba locală a sistemului de operare sau a conținutului, atâta timp cât fraza de recuperare este în engleză.
Noua versiune îmbunătățită a SparkCat pentru Android încorporează mai multe straturi de ofuscare, comparativ cu iterațiile anterioare. Printre acestea se numără utilizarea virtualizării codului și a limbajelor de programare multiplatformă, tehnici menite să eludeze eforturile de analiză și detecție ale soluțiilor de securitate. În plus, varianta Android scanează după cuvinte cheie specifice în limbile japoneză, coreeană și chineză, ceea ce confirmă un focus geografic inițial pe piața asiatică. Această diferențiere în abordare demonstrează o strategie adaptată la specificul fiecărui sistem de operare și la profilul țintă al victimelor.
Prima variantă a SparkCat, descoperită de Kaspersky, a evidențiat capacitatea sa de a utiliza un model de recunoaștere optică a caracterelor (OCR) pentru a extrage imagini selectate care conțin fraze de recuperare ale portofelelor din bibliotecile foto ale utilizatorilor și a le transmite către un server controlat de atacatori. Această funcționalitate de OCR este o componentă cheie a operațiunii SparkCat, permițându-i să identifice textul din imagini, chiar dacă acesta nu este stocat ca date text, ci ca parte a unei fotografii.
Ultimele îmbunătățiri aduse malware-ului SparkCat confirmă că este o amenințare în continuă evoluție, reflectând capacitățile tehnice avansate ale actorilor din spatele acestei operațiuni. Kaspersky a evaluat anterior că activitatea malițioasă ar fi opera unui operator vorbitor de chineză. Sergey Puzan, cercetător la Kaspersky, a explicat că “varianta actualizată a SparkCat solicită acces pentru a vizualiza fotografii din galeria smartphone-ului unui utilizator în anumite scenarii, exact ca și prima versiune a troianului. Acesta analizează textul din imaginile stocate folosind un modul de recunoaștere optică a caracterelor. Dacă programul găsește cuvinte cheie relevante, trimite imaginea atacatorilor.” Similitudinile dintre eșantionul actual și cel anterior sugerează că dezvoltatorii noii versiuni de malware sunt aceiași, indicând o continuitate în campania de atac.
Această campanie subliniază importanța utilizării soluțiilor de securitate pentru smartphone-uri, esențiale pentru a rămâne protejați împotriva unei game largi de amenințări cibernetice. Popularitatea tot mai mare a criptomonedelor în rândul publicului larg, inclusiv în România, face ca utilizatorii să devină ținte atractive pentru atacatori. Investițiile în active digitale au crescut semnificativ în ultimii ani, iar odată cu ele și riscurile asociate cu securitatea portofelelor digitale. Frazele de recuperare sunt, în esență, cheile master ale acestor portofele, iar pierderea lor, indiferent de modalitate, duce la pierderea iremediabilă a fondurilor.
Pentru a înțelege pe deplin gravitatea situației, este important de explicat ce reprezintă o frază de recuperare. Aceasta este o secvență de 12 sau 24 de cuvinte generate aleatoriu, care permite utilizatorului să-și restabilească accesul la portofelul de criptomonede în cazul în care pierde dispozitivul sau își uită parola. Aceste cuvinte sunt adesea notate pe o bucată de hârtie sau stocate digital (într-un fișier text sau o imagine) de către utilizatori, pentru a avea o copie de rezervă. Tocmai această practică de stocare, deseori neglijentă, este exploatată de malware-uri precum SparkCat. Un atacator care obține această frază poate importa portofelul victimei pe propriul dispozitiv și transfera toate fondurile, fără posibilitate de recuperare.
Infiltrarea aplicațiilor malițioase în magazinele oficiale de aplicații, cum ar fi App Store și Google Play Store, reprezintă o preocupare majoră. Deși ambele platforme implementează măsuri stricte de securitate și procese de verificare, actorii cibernetici dezvoltă constant noi metode pentru a eluda aceste controale. Aceștia pot folosi tehnici de ofuscare avansate, pot introduce codul malițios ulterior printr-o actualizare, sau pot camufla funcționalitatea ilegală într-un mod care să pară benign la prima inspecție. Utilizatorii, bazându-se pe reputația magazinelor oficiale, pot descărca aplicații infectate fără să își dea seama de riscuri, crezând că sunt protejați.
Deși statisticile specifice privind impactul SparkCat în România nu sunt publicate la momentul actual, creșterea interesului pentru criptomonede în rândul românilor face ca aceștia să fie la fel de vulnerabili ca utilizatorii din alte regiuni. Legislația românească, aliniată la regulamentul GDPR al Uniunii Europene, impune standarde stricte privind protecția datelor personale, iar furtul de date, inclusiv de informații financiare prin intermediul frazelor de recuperare, poate atrage consecințe legale pentru atacatori, dar și pierderi semnificative pentru victime.
Impactul nu se limitează doar la pierderea financiară imediată. Pe lângă valoarea activelor digitale, compromiterea portofelului poate genera un sentiment de insecuritate și neîncredere în mediul digital. De asemenea, dacă în galeria foto a utilizatorului sunt stocate și alte informații sensibile, cum ar fi documente de identitate, date bancare sau fotografii personale, accesul neautorizat la acestea poate deschide calea către alte forme de fraudă sau furt de identitate. Este un memento că securitatea cibernetică este un ecosistem complex, iar o breșă într-un anumit punct poate avea repercusiuni în multiple domenii ale vieții digitale.
Pentru a se proteja împotriva acestui tip de amenințări și a altor malware-uri similare, utilizatorii de smartphone-uri din România și din întreaga lume trebuie să adopte o serie de măsuri preventive. Primul pas este o vigilență sporită la descărcarea aplicațiilor. Chiar și din magazinele oficiale, este recomandat să se verifice recenziile, ratingurile, numele dezvoltatorului și permisiunile solicitate de aplicație. O aplicație de livrare de mâncare care cere acces complet la galerie sau la microfon ar trebui să ridice semne de întrebare. Citirea cu atenție a termenilor și condițiilor, oricât de plictisitor ar părea, poate oferi indicii prețioase.
Gestionarea permisiunilor aplicațiilor este un alt aspect fundamental. Utilizatorii ar trebui să revizuiască periodic permisiunile acordate aplicațiilor instalate și să le revoce pe cele care par excesive sau inutile pentru funcționalitatea declarată a aplicației. De exemplu, o aplicație de lanternă nu are nevoie de acces la contacte sau la galerie. Limitarea accesului la datele sensibile reduce considerabil suprafața de atac pentru malware-uri precum SparkCat. Această practică ar trebui să devină o rutină pentru toți utilizatorii de smartphone-uri.
Instalarea și menținerea actualizată a unei soluții de securitate mobile de încredere reprezintă o barieră importantă. Antivirusul mobil poate detecta și bloca aplicațiile malițioase înainte ca acestea să provoace daune. Aceste soluții sunt concepute pentru a identifica tipare de comportament suspecte și coduri malițioase, oferind un strat suplimentar de protecție. De asemenea, este imperativ să se mențină sistemul de operare al telefonului și toate aplicațiile actualizate la cele mai recente versiuni, deoarece actualizările software includ adesea patch-uri de securitate care corectează vulnerabilități exploatate de atacatori.
În ceea ce privește stocarea frazelor de recuperare ale portofelelor de criptomonede, cea mai sigură metodă rămâne stocarea offline, fizică.
Acest articol a fost tradus și adaptat folosind instrumente care pot conține conectori la modele de inteligență artificială.