Вредоносное ПО, считывающее скриншоты, впервые взламывает безопасность iPhone

6 февраля, 2025 Дядя Влад

В сфере смартфонов экосистема Apple считается более безопасной . Независимый анализ экспертов по безопасности также неоднократно подтверждал эту точку зрения на протяжении многих лет. Но ограждения Apple не являются непроницаемыми. Напротив, похоже, что злоумышленникам удалось совершить еще один тревожный прорыв.

Согласно анализу «Лаборатории Касперского» , вредоносное ПО с возможностями оптического распознавания символов (OCR) было впервые обнаружено в App Store. Вместо кражи файлов, хранящихся на телефоне, вредоносная программа сканировала локально хранящиеся снимки экрана, анализировала текстовый контент и передавала необходимую информацию на серверы.

Операция по распространению вредоносного ПО под кодовым названием «SparkCat» была нацелена на приложения, загруженные из официальных репозиториев — Google Play Store и Apple App Store — и сторонних источников. Зараженные приложения собрали около четверти миллиона загрузок на обеих платформах.

Приложение из App Store, зараженное вредоносным ПО. — Касперский

Примечательно, что вредоносная программа используется поверх библиотеки Google ML Kit — набора инструментов, который позволяет разработчикам использовать возможности машинного обучения для быстрой и автономной обработки данных в приложениях. Именно эта система ML Kit в конечном итоге позволила модели Google OCR сканировать фотографии, хранящиеся на iPhone, и распознавать текст, содержащий конфиденциальную информацию.

Но похоже, что вредоносное ПО было способно не только украсть коды восстановления, связанные с криптовалютой . «Следует отметить, что вредоносное ПО достаточно гибкое, чтобы украсть не только эти фразы, но и другие конфиденциальные данные из галереи, такие как сообщения или пароли, которые могли быть запечатлены на скриншотах», — говорится в отчете Касперского.

Среди целевых приложений для iPhone было ComeCome, которое на первый взгляд выглядело как китайское приложение для доставки еды, но было загружено вредоносным ПО для чтения скриншотов. «Это первый известный случай обнаружения приложения, зараженного шпионским ПО OCR, на официальном рынке приложений Apple», — отмечается в анализе Касперского.

Одно из приложений iPhone, зараженное вредоносной программой OCR. — Касперский

Однако неясно, занимались ли разработчики этих проблемных приложений внедрением вредоносного ПО или это была атака на цепочку поставок. Независимо от происхождения, весь конвейер был совершенно незаметен, поскольку приложения казались законными и выполняли такие задачи, как обмен сообщениями, обучение искусственного интеллекта или доставка еды. Примечательно, что кроссплатформенное вредоносное ПО также было способно скрывать свое присутствие, что затрудняло его обнаружение.

Основной целью этой кампании было извлечение фраз для восстановления криптокошелька, которые могут позволить злоумышленнику завладеть криптокошельком человека и уйти с рук с его активами. Целевыми зонами являются Европа и Азия, но некоторые из приложений из горячего списка, похоже, работают также в Африке и других регионах.