Apple всегда позиционировала свою экосистему как одну из самых безопасных, и независимые исследования многократно подтверждали это. Однако недавний анализ, проведённый экспертами Kaspersky, показал, что злоумышленникам удалось найти новый способ обхода защитных механизмов iOS.
Вредоносное ПО, названное SparkCat, появилось в официальном магазине приложений App Store, а также в Google Play и сторонних репозиториях. Оно использует оптическое распознавание символов (OCR), чтобы анализировать текст на локально сохранённых скриншотах и передавать полученные данные на удалённые серверы. В общей сложности заражённые приложения были скачаны около 250 000 раз.
Как работает вредоносный код?
Для работы SparkCat использует ML Kit от Google — инструмент, который предназначен для интеграции машинного обучения в мобильные приложения. Однако в данном случае его возможности использовали в злонамеренных целях: модели распознавания текста анализировали скриншоты и извлекали из них чувствительную информацию.
Изначально основная цель атаки заключалась в краже ключевых фраз для восстановления криптовалютных кошельков, что позволило бы злоумышленникам получить доступ к цифровым активам пользователей. Однако эксперты отмечают, что вредоносное ПО может быть использовано и для кражи других данных, включая пароли и сообщения, которые пользователи могли сохранить в виде снимков экрана.
Какие приложения были заражены?
Одним из заражённых приложений оказалось ComeCome — китайский сервис доставки еды, который на первый взгляд не вызывает подозрений. Однако внутри него скрывался вредоносный код, позволяющий анализировать скриншоты на iPhone и передавать данные на удалённые серверы. Это первый известный случай обнаружения OCR-шпионского ПО в официальном магазине Apple.
Пока неясно, было ли это намеренное действие разработчиков или же атака на цепочку поставок. Независимо от источника, заражённые приложения выглядели легитимно и выполняли стандартные функции, такие как обмен сообщениями, работа с AI или доставка еды. Более того, вредоносный код использовал методы обфускации, что значительно затрудняло его обнаружение.
Как защититься от новой угрозы?
Хотя Apple уже приняла меры по удалению заражённых приложений, пользователям следует принять дополнительные меры безопасности:
- Проверяйте разрешения приложений. Если приложение запрашивает доступ к фото- и файловому хранилищу без явной необходимости, это повод насторожиться.
- Используйте многофакторную аутентификацию. Это поможет защитить аккаунты даже в случае компрометации данных.
- Не храните чувствительные данные в виде скриншотов. По возможности используйте менеджеры паролей или зашифрованные заметки.
- Обновляйте ОС и приложения. Это минимизирует риск эксплуатации уязвимостей.
Появление SparkCat в App Store — тревожный знак того, что методы атак на iOS становятся всё изощрённее. Теперь даже скриншоты могут стать уязвимостью, если в систему проникло вредоносное ПО. Чтобы минимизировать риски, пользователям стоит внимательно относиться к установке приложений, а разработчикам – усилить проверки безопасности кода.
