كشف مركز أبحاث التهديدات التابع لشركة كاسبرسكي عن برمجية خبيثة جديدة من نوع “حصان طروادة” تُعرف باسم SparkCat، والتي كانت نشطة على متجري App Store وGoogle Play منذ مارس 2024 على الأقل. وتمثل هذه الحادثة أول ظهور مسجل لبرمجية خبيثة تعتمد على تقنيات التعرف البصري داخل متجر App Store.
آلية عمل SparkCat
تعتمد هذه البرمجية على تقنيات تعلم الآلة لفحص محتوى معارض الصور، حيث تقوم بسرقة لقطات الشاشة التي تحتوي على عبارات استرداد محافظ العملات المشفرة، إضافةً إلى إمكانية استخراج كلمات المرور والبيانات الحساسة الأخرى من الصور.
الإبلاغ عن التهديد
أبلغت كاسبرسكي كلًّا من Google وApple عن التطبيقات المصابة، التي وُجدت على المنصتين الرسميتين، إلى جانب انتشارها عبر مصادر أخرى غير رسمية. ووفقًا لبيانات كاسبرسكي، فإن عدد مرات تنزيل هذه التطبيقات من متجر Google Play تجاوز 242,000 مرة.
الفئات المستهدفة
تشير تحليلات الخبراء إلى أن SparkCat يستهدف بشكل رئيسي المستخدمين في الإمارات العربية المتحدة ودول في أوروبا وآسيا، وذلك بناءً على المناطق التشغيلية للتطبيقات المصابة والتحليل الفني للبرمجية. كما يدعم حصان طروادة هذا تحليل الكلمات المفتاحية في الصور بعدة لغات، من بينها الصينية، اليابانية، الكورية، الإنجليزية، التشيكية، الفرنسية، الإيطالية، البولندية، والبرتغالية، ما يشير إلى احتمال وجود ضحايا في دول أخرى أيضًا.
طريقة انتشار SparkCat
ينتشر SparkCat من خلال تطبيقات مشروعة تم اختراقها، تشمل:
- تطبيقات التراسل
- مساعدي الذكاء الاصطناعي
- خدمات توصيل الطعام
- تطبيقات العملات المشفرة وغيرها
ورغم أن بعض هذه التطبيقات متاح عبر App Store وGoogle Play، فإن الإصدارات المصابة تُنشر أيضًا عبر مصادر خارجية.
كيف يعمل SparkCat؟
عند التثبيت، قد يطلب SparkCat إذنًا للوصول إلى الصور في هاتف المستخدم. بعد ذلك، يقوم بتحليل النصوص في الصور باستخدام تقنية التعرف البصري على الحروف (OCR)، وحين يكتشف كلمات مفتاحية حساسة، يقوم بإرسال الصور إلى القراصنة. ويكمن الهدف الرئيسي وراء ذلك في سرقة عبارات الاسترداد الخاصة بمحافظ العملات المشفرة، مما يمنح المهاجمين القدرة على السيطرة الكاملة على أموال الضحية. كما يمكنه استخراج معلومات أخرى مثل الرسائل وكلمات المرور من لقطات الشاشة.
تعليقات الخبراء حول SparkCat
يؤكد سيرجي بوزان، محلل البرمجيات الخبيثة لدى كاسبرسكي:”هذه أول حالة مسجلة لبرمجية خبيثة تستخدم التعرف البصري على الحروف داخل متجر App Store. حتى الآن، لا نعلم ما إذا كانت التطبيقات المصابة قد اختُرقت من خلال هجوم على سلسلة التوريد أو بطرق أخرى. بعض التطبيقات تبدو مشروعة تمامًا، بينما صُمم البعض الآخر كفخ واضح.”
كما يضيف ديمتري كالينين، محلل آخر لدى كاسبرسكي:”يمتاز SparkCat بقدرات تخفي متقدمة، حيث ينتشر عبر المتاجر الرسمية دون علامات واضحة على الإصابة، ما يجعل اكتشافه أكثر صعوبة سواء بالنسبة لمستخدمي الهواتف أو مشرفي المتاجر. كما أن الأذونات التي يطلبها التطبيق لا تبدو مريبة، ما يسهل تمريرها دون إثارة الشكوك.”
دلالات تشير إلى مصدر التهديد
أثناء تحليل إصدارات Android من SparkCat، عثر الباحثون على تعليقات في كود البرمجية مكتوبة باللغة الصينية. كما أن إصدار iOS تضمن أسماء مجلدات مطورين تحمل طابعًا صينيًا، مثل “qiongwu” و”quiwengjing”، ما يشير إلى أن الجهة المهاجمة قد تكون ناطقة بالصينية، رغم عدم توفر أدلة قاطعة تربطها بأي مجموعة سيبرانية معروفة.
هجمات قائمة على تعلم الآلة
تزداد وتيرة استخدام المجرمين السيبرانيين للشبكات العصبونية وتقنيات الذكاء الاصطناعي في أدواتهم الخبيثة. في حالة SparkCat، تعتمد وحدة Android المصابة على Google ML Kit للتعرف على النصوص في الصور المخزنة، بينما تستخدم وحدة iOS آلية مماثلة لتحليل الصور وسرقة البيانات.
الحماية من SparkCat
توفر كاسبرسكي حلولًا أمنية تحمي مستخدمي Android وiOS من SparkCat، حيث يتم اكتشاف البرمجية تحت أسماء:
- HEUR:Trojan.IphoneOS.SparkCat.
- HEUR:Trojan.AndroidOS.SparkCat.
إجراءات الحماية الموصى بها
للحماية من تهديد SparkCat، تنصح كاسبرسكي باتباع الإجراءات التالية:
إزالة التطبيقات المصابة فورًا وعدم استخدامها حتى يتم إصدار تحديث آمن، تجنب حفظ لقطات الشاشة التي تحتوي على معلومات حساسة، مثل عبارات استعادة محفظة العملات المشفرة، واستخدام تطبيقات إدارة كلمات المرور مثل Kaspersky Password Manager، الاعتماد على برامج أمن سيبراني موثوقة، مثل Kaspersky Premium، للكشف عن البرمجيات الخبيثة ومنع إصابة الجهاز.
عن كاسبرسكي
تأسست كاسبرسكي عام 1997، وهي شركة عالمية متخصصة في الأمن السيبراني والخصوصية الرقمية، حيث توفر حماية لأكثر من مليار جهاز ضد التهديدات الرقمية. تقدم الشركة حلولًا وخدمات متطورة لحماية الشركات، البنية التحتية الحيوية، الحكومات والمستهلكين، مما يضمن أمان البيانات في مواجهة التهديدات المتزايدة.
لمعرفة المزيد، يرجى زيارة: www.kaspersky.com
