SparkCat Stealer IOCs

В конце 2024 года была обнаружена новая вредоносная кампания под названием SparkCat, нацеленная на пользователей Android и iOS через официальные магазины приложений.

SparkCat

Троянские приложения WhatsApp и Telegram охотятся за криптовалютными кошельками

SparkCat использовал неопознанный протокол, реализованный на языке программирования Rust, для связи с командно-контрольным сервером. Зараженные приложения, содержащие вредоносный SDK/фреймворк, были обнаружены в Google Play и App Store. Вредоносная программа для Android использовала библиотеку ML Kit от Google для распознавания текста, а вредоносная программа для iOS - ту же библиотеку. Зараженные приложения в Google Play были загружены более 242 000 раз, что стало первым известным случаем, когда подобная атака затронула App Store.

Исследователи обнаружили в Google Play подозрительное приложение ComeCome, занимающееся доставкой еды в ОАЭ и Индонезии, которое содержало вредоносный компонент SDK под названием Spark. SDK загружал зашифрованный файл конфигурации с GitLab, который впоследствии расшифровывался и дешифровался. Если конфигурацию не удавалось получить, использовались настройки по умолчанию.

Конфигурационный файл содержал адреса командных серверов SDK, причем флаг «tfm» определял выбор командного сервера (с помощью Rust или http). Spark взаимодействовал с http-сервером с помощью POST-запросов, шифруя данные перед отправкой с помощью AES-256 в режиме CBC и расшифровывая ответ сервера с помощью AES-128 в режиме CBC. Для передачи данных на сервер Rust шифровал их с помощью AES-256 в режиме CBC, формируя JSON-структуру, которая отправлялась по нераспознанному протоколу через TCP-сокеты.

Анализ библиотечного кода, написанного на Rust, оказался сложным из-за нестандартных соглашений о вызовах и отсутствия имен функций. Однако, используя Frida для динамического анализа, исследователи смогли восстановить схему взаимодействия. Библиотека генерировала ключ для шифра AES-GCM-SIV, который использовался для шифрования отправленных данных после сжатия.

Эти результаты свидетельствуют об эволюции тактики, применяемой вредоносными кампаниями, включая использование сложных протоколов и библиотек для облегчения утечки данных и несанкционированного доступа к криптовалютным кошелькам. Это подчеркивает важность бдительности даже при использовании официальных магазинов приложений, поскольку такие атаки могут проникать в, казалось бы, легитимные приложения.

Indicators of Compromise

Domains

• api.aliyung.com
• api.aliyung.org
• api.firebaseo.com
• api.googleapps.top
• socket.99ai.world
• uploads.99ai.world

URLs

• https://dmbucket102.s3.ap-northeast-1.amazonaws.com
• https://gitlab.com/group6815923/ai/-/raw/main/rel.json
• https://gitlab.com/group6815923/kz/-/raw/main/rel.json

MD5

• 00ed27c35b2c53d853fafe71e63339ed
• 02646d3192e3826dd3a71be43d8d2a9e
• 0b4ae281936676451407959ec1745d93
• 0ff6a5a204c60ae5e2c919ac39898d4f
• 10c9dcabf0a7ed8b8404cd6b56012ae4
• 1e14de6de709e4bf0e954100f8b4796b
• 21bf5e05e53c0904b577b9d00588e0e7
• 24db4778e905f12f011d13c7fb6cebde
• 31ebf99e55617a6ca5ab8e77dfd75456
• 35fce37ae2b84a69ceb7bbd51163ca8a
• 4ee16c54b6c4299a5dfbc8cf91913ea3
• 51cb671292eeea2cb2a9cc35f2913aa3
• 54ac7ae8ace37904dcd61f74a7ff0d42
• 66b819e02776cb0b0f668d8f4f9a71fd
• 6a49749e64eb735be32544eab5a6452d
• 6a9c0474cc5e0b8a9b1e3baed5a26893
• 7ac98ca66ed2f131049a41f4447702cd
• a4a6d233c677deb862d284e1453eeafb
• a8cd933b1cb4a6cae3f486303b8ab20a
• bbcbf5f3119648466c1300c3c51a1c77
• caf92da1d0ff6f8251991d38a840fb4a
• cd6b80de848893722fa11133cbacd052
• ee714946a8af117338b08550febcd0a9
• eea5800f12dd841b73e92d15e48b2b71
• f28f4fd4a72f7aab8430f8bc91e8acba
• f99252b23f42b9b054b7233930532fcd
• fe175909ac6f3c1cce3bc8161808d8b7