Apple и Google удалили до 20 приложений из своих соответствующих магазинов приложений после того, как исследователи по безопасности обнаружили, что эти приложения содержат вредоносное программное обеспечение для кражи данных почти год.
Исследователи по безопасности в Kaspersky сообщили, что вредоносное программное обеспечение, названное SparkCat, активно с марта 2024 года. Сначала исследователи нашли вредоносную структуру в приложении для доставки еды, используемом в ОАЭ и Индонезии, но позже обнаружили вредоносное программное обеспечение в еще 19 других, несвязанных приложениях, которые, как они говорят, были загружены более чем 242 000 раз через магазин Google Play.
Используя код, предназначенный для захвата текста, видимого на дисплее пользователя - известный как оптическое распознавание символов (OCR), исследователи обнаружили, что вредоносное программное обеспечение сканировало галереи изображений на устройствах жертв в поисках ключевых слов для поиска фраз восстановления для криптовалютных кошельков на различных языках, включая английский, китайский, японский и корейский.
Используя вредоносное программное обеспечение для захвата фраз восстановления жертвы, злоумышленники могли получить полный контроль над кошельком жертвы и украсть их средства, обнаружили исследователи.
Вредоносное программное обеспечение также могло позволить извлечение личной информации из снимков экрана, такой как сообщения и пароли, сообщили исследователи.
Получив отчет от исследователей, Apple на прошлой неделе удалила скомпрометированные приложения из App Store, за ней последовал Google.
"Все идентифицированные приложения были удалены из Google Play, а разработчиков заблокировали", - сказал представитель Google Эд Фернандес TechCrunch.
Представитель Google также подтвердил, что пользователи Android защищены от известных версий этого вредоносного программного обеспечения с помощью встроенной функции безопасности Google Play Protect.
Apple не ответила на запросы о комментариях.
Представитель Kaspersky Розмари Гонсалес сказал TechCrunch, что, хотя сообщенные приложения были удалены из официальных магазинов приложений, данные телеметрии компании указывают, что вредоносное программное обеспечение также было доступно с других веб-сайтов и неофициальных магазинов приложений.
