Ethical hacking instruction notes [2]

Интересный разбор кроссплатформенного OCR-стилера криптокошельков SparkCat

Как я понял, с помощью атаки на цепочку поставок SparkCat проник как в Google Play (>242k установок), так и в App Store (первый известный случай OCR-стилера в официальном магазине Apple).

Реализован был как:
- Модульная система с вредоносным SDK/фреймворком
- Основной модуль написан на Java (Android) / Objective-C (iOS)
- Сетевое взаимодействие реализовано на Rust (редкий выбор для мобильных платформ)
- Использует Google ML Kit для OCR-распознавания

Механизм работы:
- Загружает конфигурацию с GitLab (зашифрована AES-128-CBC)
- Использует кастомный протокол поверх TCP для C2-коммуникации
- Шифрует:
* AES-256-CBC для данных
* AES-GCM-SIV для протокола
* RSA для обмена ключами
* ZSTD компрессия

Прикольно что он:
- Имеет три режима фильтрации OCR-результатов:
* По ключевым словам (мультиязычный словарь)
* По количеству слов определенной длины
* По локализованным словарям
- Маскируется под аналитический SDK (com.spark.stat)
- Запрашивает доступ к галерее при открытии чата поддержки

Эксфильтрация:
1) Проверка MD5 изображения на C2 (/api/e/img/uploadedCheck)
2) Загрузка в Amazon S3 или через rust-протокол
3) Отправка ссылки на C2 (/api/e/img/rekognition)

Он даже защищается:
- Обфускация через HikariLLVM (iOS)
- Шифрование строк и запутывание потока управления
- Маскировка C2 под легитимные сервисы (api.firebaseo[.]com)
- Минимальные следы вредоносной активности

Из интересного:
- Использует нестандартный nonce="unique nonce" для AES-GCM-SIV
- Содержит как клиентский, так и серверный Rust-код в iOS версии
- Поддерживает распознавание текста на латинице, китайском, корейском и японском
- Имеет неиспользуемый модуль для отслеживания геолокации

securelist.ru

Криптостилер SparkCat в магазинах Google Play и App Store

Эксперты «Лаборатории Касперского» обнаружили зараженные криптостилером SparkCat приложения для iOS и Android в Google Play и App Store. Стилер крадет данные криптокошельков с помощью OCR-модели.

www.tgoop.com/api_0/324

1.3K viewsAustin Augie, Feb 6 at 10:12

Интересный разбор кроссплатформенного OCR-стилера криптокошельков SparkCat

Как я понял, с помощью атаки на цепочку поставок SparkCat проник как в Google Play (>242k установок), так и в App Store (первый известный случай OCR-стилера в официальном магазине Apple).

Реализован был как:
- Модульная система с вредоносным SDK/фреймворком
- Основной модуль написан на Java (Android) / Objective-C (iOS)
- Сетевое взаимодействие реализовано на Rust (редкий выбор для мобильных платформ)
- Использует Google ML Kit для OCR-распознавания

Механизм работы:
- Загружает конфигурацию с GitLab (зашифрована AES-128-CBC)
- Использует кастомный протокол поверх TCP для C2-коммуникации
- Шифрует:
* AES-256-CBC для данных
* AES-GCM-SIV для протокола
* RSA для обмена ключами
* ZSTD компрессия

Прикольно что он:
- Имеет три режима фильтрации OCR-результатов:
* По ключевым словам (мультиязычный словарь)
* По количеству слов определенной длины
* По локализованным словарям
- Маскируется под аналитический SDK (com.spark.stat)
- Запрашивает доступ к галерее при открытии чата поддержки

Эксфильтрация:
1) Проверка MD5 изображения на C2 (/api/e/img/uploadedCheck)
2) Загрузка в Amazon S3 или через rust-протокол
3) Отправка ссылки на C2 (/api/e/img/rekognition)

Он даже защищается:
- Обфускация через HikariLLVM (iOS)
- Шифрование строк и запутывание потока управления
- Маскировка C2 под легитимные сервисы (api.firebaseo[.]com)
- Минимальные следы вредоносной активности

Из интересного:
- Использует нестандартный nonce="unique nonce" для AES-GCM-SIV
- Содержит как клиентский, так и серверный Rust-код в iOS версии
- Поддерживает распознавание текста на латинице, китайском, корейском и японском
- Имеет неиспользуемый модуль для отслеживания геолокации

BY Ethical hacking instruction notes [2]