كشفت شركة الأمن السيبراني كاسبرسكي (Kaspersky) عن برمجية خبيثة جديدة تحمل اسم SparkCat تستهدف مفاتيح المحافظ الرقمية لمستخدمي الهواتف الذكية بنظامي أندرويد (Android) وآي أو إس (iOS). وفقًا لتقرير الشركة الصادر في 4 فبراير 2025، انتشرت هذه البرمجية عبر تطبيقات شائعة و نُزّلت أكثر من 200,000 مرة.
بدأ نشاط هذه البرمجية في مارس 2024، وتعتمد SparkCat على حزم تطوير برمجيات خبيثة مضمنة داخل تطبيقات تبدو غير ضارة. مثل تطبيقات خدمات التوصيل وتطبيقات الذكاء الاصطناعي للمراسلة.
كما أنها تعد أول برمجية خبيثة تعتمد على تقنية التعرف الضوئي على الأحرف (OCR) للوصول إلى بيانات حساسة على أجهزة المستخدمين.
آلية عمل "SparkCat" و انتشارها على منصات أندرويد وiOS
تستخدم "SparkCat" تقنية التعرف الضوئي على الحروف (OCR) لمسح معرض الصور في الجهاز المصاب. باحثةً عن عبارات استرداد المحافظ الرقمية المخزنة في لقطات الشاشة أو الملاحظات المحفوظة.
عند العثور على مثل هذه العبارات، تقوم البرمجية بتحميل الصور إلى خادم يتحكم فيه المهاجمون. مما يتيح لهم الوصول إلى المفاتيح الخاصة وسرقة الأصول الرقمية.
تستخدم البرمجية طريقة معقدة للاختراق عبر حزمة تطوير برمجيات (SDK) بلغة جافا تُعرف باسم Spark. حيث تظهر وكأنها وحدة تحليل بيانات داخل التطبيق. بمجرد تشغيل التطبيق المصاب، يقوم Spark بتنزيل ملف تهيئة مشفر من مستودع على منصة GitLab.
عند تفعيلها، تستعين SparkCat بأداة Google ML Kit لمسح معرض الصور على الجهاز بحثًا عن عبارات استرداد المحافظ الرقمية المخزنة في لقطات الشاشة أو الملاحظات المحفوظة.
بعد ذلك، تُرفع الصور المكتشفة إلى خادم يتحكم فيه المهاجمون باستخدام بروتوكولات مشفرة مثل Amazon cloud storage أو نظام Rust، مما يعقد تتبع عمليات الاختراق.
على نظام iOS، تعمل SparkCat من خلال إطار برمجي خبيث مدمج داخل التطبيقات المصابة، حيث يخفي نفسه تحت أسماء مثل GZIP وgoogleappsdk وstat. يعتمد هذا الإطار على لغة البرمجة Objective-C وتقنيات إخفاء التعليمات البرمجية HikariLLVM لتمويه نشاطه.
وللتحايل على إجراءات الحماية الأمنية من آبل، لا تطلب النسخة الخاصة بنظام iOS إذن الوصول إلى معرض الصور إلا عند تنفيذ المستخدم إجراءات محددة، مثل فتح محادثة دعم فني.
وبمجرد الحصول على الإذن، يقوم البرنامج الضار بتحليل الصور وسحب بيانات مفاتيح الاسترداد دون إثارة الشبهات.
مخاطر كبيرة لمستخدمي العملات الرقمية
تشير تقديرات كاسبرسكي إلى أن SparkCat أصابت أكثر من 242,000 جهاز في أوروبا وآسيا، بينما لا تزال أصول البرمجية غير معروفة. ومع ذلك، كشفت بعض التعليقات البرمجية ورسائل الخطأ أن مطوريها يجيدون اللغة الصينية.
كما حذّر التقرير من أن مرونة البرمجية تتيح لها سرقة بيانات حساسة أخرى. مثل محتوى الرسائل أو كلمات المرور التي قد تبقى في لقطات الشاشة.
تعد الحملات السيبرانية المعقدة تهديدًا متزايدًا في قطاع العملات الرقمية. حيث تمكنت بعض البرمجيات الضارة من تجاوز تدابير الالأمن في متجري جوجل وآبل.
على سبيل المثال، في سبتمبر 2024، أبلغت منصة بينانس عن برمجية Clipper التي أصابت أجهزة المستخدمين عبر تطبيقات غير رسمية وإضافات برمجية. حيث كانت تستبدل عناوين المحافظ المنسوخة بعناوين تابعة للمهاجمين.
ولا تزال سرقة المفاتيح الخاصة واحدة من أخطر التهديدات التي تواجه قطاع العملات الرقمية. إذ تسببت في خسائر كبيرة لبعض أكبر المؤسسات والمستثمرين في المجال.
توصيات أمنية للمستخدمين
في ظل تصاعد هذه التهديدات، أوصت كاسبرسكي المستخدمين بتجنب تخزين عبارات الاسترداد والمفاتيح الخاصة وكلمات المرور داخل لقطات الشاشة أو الملاحظات. واعتماد أساليب حماية أكثر تطورًا لحماية أصولهم الرقمية.
إخلاء مسؤولية
جميع المعلومات المنشورة على موقعنا الإلكتروني تم عرضها على أساس حسن النية ولأغراض المعلومات العامة فقط. لذا، فأي إجراء أو تصرف أو قرار يقوم به القارئ وفقاً لهذه المعلومات يتحمل مسؤوليته وتوابعه بشكل فردي حصراً ولا يتحمل الموقع أية مسؤولية قانونية عن هذه القرارات.
