أفاد خبراء في شركة كاسبرسكي أنهم اكتشفوا أول تطبيق يحتوي برنامج تجسس في متجر تطبيقات آبل والذي يعمل بتقنية التعرف البصري على الحروف “أو سي آر” (OCR)، ويقول الخبراء إن هذا التطبيق صمم لسرقة العملات المشفرة بطريقة لا يتوقعها المستخدم. بحسب موقع “ذا ريجستر”.
وقد وجد الباحثون برمجيات خبيثة في تطبيق على متجر آبل يدعى “كَم كَم” (ComeCome) والذي يوفر خدمة توصيل الطعام، كما أنه متاح على متجر غوغل بلاي أيضا، وبحسب الخبيرين لديتري كالنين وسيرغي بوزان من كاسبرسكي فإن التطبيق قادر على قراءة كلمات دخول تابعة لمحافظ العملات المشفرة وإرسالها إلى المجرمين.
وتبيّن أن تطبيق “كَم كَم” يحتوي على مجموعة أدوات تطوير برمجيات خبيثة من ضمنها تقنية “أو سي آر” مخفية، وعند استخدام التطبيق تعمل هذه التقنية والتي مهمتها قراءة محتويات الصور، ويبدأ التطبيق في البحث عن صور داخل هاتف المستخدم وخاصة لقطات الشاشة بهدف تحصيل صورة تتضمن كلمات الدخول التابعة لمحفظة عملات مشفرة، إذ إن العديد من هذه المحافظ تستخدم أسلوب كلمات الدخول للوصول إلى المحفظة من دون الحاجة لاستخدام بريد إلكتروني أو رقم هاتف، وغالبا ما تكون 12 كلمة عشوائية تحتاج لإدخالها بترتيب صحيح للولوج.
وفي حال وجدت تقنية “أو سي آر” كلمات الدخول فستقوم باستخراجها من الصورة وتحولها إلى نص، ثم يقوم برنامج التجسس بإرسال الكلمات المسروقة إلى المجرمين الذين يقفون وراء هذا التطبيق، وباستخدام كلمات الدخول المسروقة يستطيعون فتح محفظة العملات المشفرة الخاصة بالضحية وسرقة عملاتهم من دون أن يعرفوا من قام بذلك.
وكتب فريق كاسبرسكي: “كشف تحقيقنا أن هدف المهاجمين كان كلمات الدخول لمحافظ العملات المشفرة، والتي كانت كافية للدخول إلى أي محفظة بصلاحيات كاملة وتحويل الأموال منها”.
وأضاف الفريق: “رغم الفحص الدقيق من قبل متاجر التطبيقات الرسمية والوعي العام بعمليات الاحتيال القائمة على تقنية “أو سي آر” والتي تستهدف سرقة العملات المشفرة، فإن التطبيقات الاحتيالية لا تزال تجد طريقها إلى متجر تطبيقات آبل ومتجر غوغل بلاي وتجتاز فحص الأمان لأنها لا تقدم أي دليل على حقن برمجيات خبيثة داخلها وقد تبدو غير ضارة”.
وذكر فريق البحث “في هذه الحالة، نحن ندحض المقولة التي تدعي أن نظام “آي أو إس” محصن بطريقة ما ضد التطبيقات الخبيثة”.
وقد أطلق الباحثان كالنين وبوزان على هذا النوع من البرامج الخبيثة اسم “سابركات” (SparkCat) ولاحظوا أنه مرن بما يكفي لتنفيذ عمليات سرقة متقدمة، فهو لا يتوقف عند سرقة كلمات دخول محافظ العملات المشفرة، بل بإمكانه سرقة أي معلومات حساسة من لقطات الشاشة الموجودة في معرض الصور مثل الرسائل وكلمات المرور وبيانات تسجيل دخول.
ويقول فريق كاسبرسكي “إن محاولة سرقة العملات المشفرة تستهدف بشكل أساسي مستخدمي أندرويد وآيفون في أوروبا وآسيا، وقد وردنا أن أكثر من تطبيق في متجر غوغل بلاي يحتوي على “سابركات” وقد قام أكثر من 242 ألف مستخدم بتنزيل هذه التطبيقات”. وفقا لموقع “ذا ريجستر”.
ولم يتمكن المحللون من تأكيد ما إذا كان برنامج “سابركات” أُدخل في التطبيق عبر هجوم سلسلة التوريد أو كعمل متعمد من قبل مطوري التطبيقات، وذكرت كاسبرسكي أن آبل أزالت تطبيق “كَم كَم” الخبيث من متجرها، كما أنه اختفى أيضا من متجر غوغل بلاي، بالإضافة إلى تطبيقات أخرى مشابهة.