كشف خبراء في شركة كاسبرسكي عن اكتشافهم أول تطبيق يحتوي على برنامج تجسس في متجر تطبيقات آبل، ويستخدم تقنية التعرف البصري على الحروف “أو سي آر” (OCR). وأوضح الخبراء أن هذا التطبيق تم تصميمه لسرقة العملات المشفرة بطرق غير متوقعة للمستخدم. ووفقًا لموقع “ذا ريجستر”، تم العثور على البرمجيات الخبيثة في تطبيق “كَم كَم” (ComeCome)، الذي يوفر خدمة توصيل الطعام، ويُتاح أيضًا على متجر غوغل بلاي.
وذكر الخبراء ديتر كالنين وسيرغي بوزان من كاسبرسكي أن التطبيق يستطيع قراءة كلمات الدخول الخاصة بمحافظ العملات المشفرة وإرسالها إلى المجرمين. وقد تبين أن تطبيق “كَم كَم” يحتوي على مجموعة أدوات تطوير برمجيات خبيثة، بما في ذلك تقنية “أو سي آر” المخفية. وعند استخدام التطبيق، تبدأ هذه التقنية في العمل لقراءة محتويات الصور، حيث يبحث التطبيق عن لقطات شاشة على الهاتف تحتوي على كلمات الدخول الخاصة بمحافظ العملات المشفرة. يُذكر أن العديد من هذه المحافظ تستخدم أسلوب كلمات دخول مكونة من 12 كلمة عشوائية، والتي يجب إدخالها بالترتيب الصحيح للوصول إلى المحفظة، مما يجعلها هدفًا سهلاً للمهاجمين.
في حال اكتشاف تقنية “أو سي آر”
لكلمات الدخول في الصورة، يقوم البرنامج باستخراجها وتحويلها إلى نص. بعدها، يرسل برنامج التجسس هذه الكلمات المسروقة إلى المجرمين القائمين على التطبيق. باستخدام كلمات الدخول المسروقة، يتمكن المهاجمون من فتح محفظة العملات المشفرة الخاصة بالضحية وسرقة أموالها دون أن يعرف أحد مصدر السرقة.
وذكر فريق كاسبرسكي: “أظهر تحقيقنا أن الهدف الرئيسي للمهاجمين كان كلمات الدخول لمحافظ العملات المشفرة، حيث كانت كافية للوصول إلى أي محفظة بصلاحيات كاملة وتحويل الأموال منها.”
وأضاف الفريق: “على الرغم من الفحص الدقيق الذي تقوم به متاجر التطبيقات الرسمية، والوعي المتزايد حول عمليات الاحتيال التي تعتمد على تقنية “أو سي آر” لاستهداف العملات المشفرة، فإن التطبيقات الاحتيالية ما تزال تجد طريقها إلى متاجر تطبيقات آبل وغوغل بلاي وتخترق فحوصات الأمان، حيث أنها لا تحتوي على دلائل تثبت احتوائها على برمجيات خبيثة وقد تظهر غير ضارة.”
في هذه الحالة، يقوم فريق البحث بتفنيد الفكرة التي تدعي أن نظام “آي أو إس” محصن ضد التطبيقات الخبيثة. وقد أطلق الباحثان كالنين وبوزان على هذا النوع من البرمجيات الخبيثة اسم “سابركات” (SparkCat)، ولاحظا أن هذا البرنامج يتمتع بمرونة عالية تمكنه من تنفيذ عمليات سرقة متقدمة. فهو لا يقتصر على سرقة كلمات مرور محافظ العملات المشفرة، بل يمتد ليشمل سرقة أي معلومات حساسة من لقطات الشاشة في معرض الصور، مثل الرسائل وكلمات المرور وبيانات تسجيل الدخول.
من جانبه، أفاد فريق كاسبرسكي بأن محاولات سرقة العملات المشفرة تستهدف بشكل رئيسي مستخدمي أنظمة أندرويد وآيفون في أوروبا وآسيا. كما أشاروا إلى أن أكثر من تطبيق في متجر “غوغل بلاي” يحتوي على “سابركات”، وقد قام أكثر من 242 ألف مستخدم بتنزيل هذه التطبيقات، وفقاً لموقع “ذا ريجستر”.
وفيما يتعلق بوجود “سابركات” في التطبيقات، لم يتمكن المحللون من تأكيد ما إذا كان قد تم إدخال البرمجية الخبيثة عبر هجوم سلسلة التوريد أو كان ذلك نتيجة لعمل متعمد من مطوري التطبيقات. وقد أعلنت كاسبرسكي أن آبل قامت بإزالة تطبيق “كَم كَم” الخبيث من متجرها، كما تم حذفه من متجر “غوغل بلاي”، إلى جانب تطبيقات مشابهة أخرى.
