SparkCat.. تطبيقات على Google Play وApp Store تسرق محافظ العملات الرقمية

في اكتشاف جديد يثير القلق، حذّر باحثون في مجال الأمن السيبراني من حملة برمجيات خبيثة تستهدف مستخدمي الهواتف الذكية، بما في ذلك مستخدمي أجهزة أندرويد وiOS، بهدف سرقة بيانات استرداد محافظ العملات الرقمية. هذه الحملة، التي أطلق عليها اسم “SparkCat”، نجحت في اختراق كل من متجر Google Play ومتجر App Store، ما يجعلها أول برمجية خبيثة يتم اكتشافها في متجر آبل الرسمي.

آلية الهجوم وانتشار البرمجية

بدأت الحملة في مارس 2024، حيث اكتشف الباحثون تطبيقات محملة ببرمجيات خبيثة مصممة خصيصًا لاستخلاص عبارات الاسترداد لمحافظ العملات الرقمية من صور المستخدمين المخزنة في هواتفهم. تستخدم هذه البرمجيات نموذج التعرف الضوئي على الأحرف (OCR) لمسح الصور واستخراج النصوص التي تحتوي على بيانات حساسة، ثم إرسالها إلى خوادم المهاجمين.

ووفقًا للباحثين، فقد تم تنزيل التطبيقات المصابة من متجر Google Play أكثر من 242,000 مرة، بينما تم العثور على إصدارات مشابهة في متجر App Store، مما يؤكد أن مستخدمي كلا النظامين قد تعرضوا للخطر. وقد تم توزيع البرمجية من خلال تطبيقات متنوعة، بما في ذلك تطبيقات توصيل الطعام والدردشة، ما يجعل من الصعب على المستخدم العادي اكتشاف الخطر.

التطبيقات المصابة بالبرمجية الخبيثة

اكتشف الباحثون مجموعة من التطبيقات التي تحتوي على البرمجية الضارة “SparkCat”، ومن بين هذه التطبيقات:

• ComeCome (تطبيق توصيل الطعام في الإمارات وإندونيسيا)
• com.bintiger.mall.android
• com.crownplay.vanity.address
• com.atvnewsonline.app
• org.safew.messenger
• com.websea.exchange
• com.tonghui.paybank
• com.sapp.chatai
• com.sapp.starcoin

تم تصميم هذه التطبيقات بحيث تبدو طبيعية ومفيدة للمستخدمين، مثل تطبيقات التوصيل والخدمات الإخبارية والدردشة، مما يزيد من احتمالية تعرض المستخدمين للبرمجية دون علمهم.

المزيد من التفاصيل في التقرير

كيف تعمل برمجية SparkCat؟

تبدأ البرمجية عملها بمجرد تثبيت التطبيق المصاب، حيث يقوم كود خبيث مدمج داخل التطبيق بتحميل وحدة إضافية تعمل بتقنيات التشفير المتقدمة، مثل AES-128 وAES-256، لضمان الاتصال الآمن مع خوادم المهاجمين. بعد ذلك، يتم تفعيل نموذج التعرف الضوئي (OCR) لمسح الصور في معرض الهاتف، بحثًا عن كلمات مفتاحية مثل “Mnemonic” أو “Recovery Phrase”، والتي تشير إلى عبارات استرداد المحافظ الرقمية.

عند العثور على صورة تحتوي على معلومات مطابقة للكلمات المفتاحية، يتم تحميلها مباشرة إلى خوادم المهاجمين عبر بروتوكول مخصص، غالبًا ما يكون مشفرًا باستخدام لغة البرمجة Rust، وهي لغة غير شائعة في تطبيقات الهواتف الذكية، مما يجعل تعقب البرمجية وتحليلها أكثر صعوبة.

تطور جديد: إصابة متجر App Store للمرة الأولى

من الأمور المقلقة في هذا الاكتشاف أن البرمجية تمكنت من التسلل إلى متجر App Store، المعروف بتدابير الحماية الصارمة التي يفرضها على التطبيقات. وأظهرت التحليلات أن البرمجية استُخدمت عبر إطار عمل (Framework) خبيث مكتوب بلغة Objective-C، مع تقنيات إخفاء متقدمة مثل HikariLLVM، مما جعل اكتشافها أكثر تعقيدًا.

وفي بعض الحالات، لم يكن من الواضح ما إذا كان المطورون على علم بوجود هذا الكود الخبيث في تطبيقاتهم، أم أن التطبيقات قد تم اختراقها كجزء من هجوم على سلسلة التوريد (Supply Chain Attack).

ماذا يجب أن يفعل المستخدمون لحماية أجهزتهم؟

نظرًا لخطورة هذا التهديد، ينصح خبراء الأمن السيبراني المستخدمين باتخاذ الإجراءات التالية لحماية أجهزتهم وأموالهم:

1. إزالة التطبيقات المشبوهة: إذا كنت قد قمت بتثبيت أي من التطبيقات المصابة المذكورة في قائمة مؤشرات الاختراق (IoC)، فقم بإزالتها فورًا.
2. عدم تخزين معلومات حساسة في معرض الصور: تجنب الاحتفاظ بلقطات شاشة تحتوي على عبارات استرداد المحافظ الرقمية أو كلمات المرور.
3. استخدام برامج الحماية: تأكد من تثبيت برامج حماية موثوقة على هاتفك لمراقبة أي نشاط مشبوه.
4. تحديث التطبيقات والنظام بانتظام: تحديث البرامج بشكل مستمر يساعد على تصحيح الثغرات الأمنية.
5. توخي الحذر عند منح الأذونات: لا تمنح التطبيقات إذن الوصول إلى معرض الصور إلا إذا كنت متأكدًا من موثوقيتها.

خاتمة

يؤكد هذا الهجوم الجديد أن التهديدات الأمنية لم تعد مقتصرة على متاجر التطبيقات غير الرسمية، بل امتدت إلى المتاجر الرسمية مثل Google Play وApp Store، مما يضع المستخدمين في خطر أكبر. لذا، من الضروري توخي الحذر عند تثبيت التطبيقات والتأكد من مصدرها قبل منحها أي أذونات للوصول إلى البيانات الحساسة. ومع استمرار الهجمات الإلكترونية في التطور، يبقى الوعي الأمني هو خط الدفاع الأول لحماية البيانات الشخصية والمالية.