Schadelijke add-ons voor legitieme apps<\/h2>\n
Apps die schadelijke componenten van SparkCat bevatten, kunnen in twee categorie\u00ebn worden verdeeld. Sommige, zoals , vergelijkbare berichtenapps die beweren over AI-functionaliteit te beschikken en die allemaal van dezelfde ontwikkelaar komen, zijn duidelijk als lokaas ontworpen. Andere zijn legitieme apps, zoals voor voedselbezorgdiensten, nieuws en cryptowallet-hulpprogramma\u2019s. We weten nog niet hoe de trojan-functionaliteit in deze apps terecht is gekomen.Het kan het resultaat zijn van een aanval op de toeleveringsketen<\/a>, waarbij een onderdeel van een derde partij dat in de app werd gebruikt, werd ge\u00efnfecteerd. Het is ook mogelijk dat de ontwikkelaars de trojan doelbewust in hun apps hebben verwerkt.<\/p>\n De eerste app waarin we SparkCat ontdekten, was een voedselbezorgservice-app genaamd ComeCome. De app is beschikbaar in de VAE en Indonesi\u00eb. De ge\u00efnfecteerde app werd gevonden in zowel Google Play als in de App Store<\/p><\/div>\n De stealer analyseert foto\u2019s in de galerij van de smartphone. Alle ge\u00efnfecteerde apps vragen om toestemming om toegang te krijgen. In veel gevallen lijkt dit verzoek volkomen legitiem. Zo vroeg de voedselbezorgservice-app ComeCome bijvoorbeeld direct bij het openen van de chat om toegang tot een chatgesprek met de klantenservice, wat er volkomen natuurlijk uitzag. Andere applicaties vragen om toegang tot de galerij wanneer de kernfunctionaliteit wordt opgestart, wat op het eerste gezicht geen belletje doet rinkelen. Je wilt immers foto\u2019s kunnen delen via een berichtendienst, toch?<\/p>\n Zodra de gebruiker echter toegang verleent tot specifieke foto\u2019s of de hele galerij, doorzoekt de malware alle beschikbare foto\u2019s en gaat deze op zoek naar waardevolle informatie.<\/p>\n Om gegevens van cryptowallets te kunnen vinden tussen foto\u2019s van katten en zonsondergangen, beschikt de trojan over een ingebouwde optische tekenherkenningsmodule (OCR) die is gebaseerd op de Google ML Kit. Dit is een universele bibliotheek voor machine learning.<\/p>\n Afhankelijk van de taalinstellingen van het apparaat downloadt SparkCat modellen die zijn getraind om het relevante schrift in foto\u2019s te herkennen, ongeacht of dit nu Latijns, Koreaans, Chinees of Japans is. Nadat de trojan de tekst in een afbeelding heeft herkend, controleert deze de tekst aan de hand van een reeks regels die vanaf de command-and-control-server zijn geladen. Naast trefwoorden uit de lijst (bijvoorbeeld \u2018Mnemonic\u2019, ofwel ezelsbruggetje) kan het filter ook worden geactiveerd door specifieke patronen, zoals betekenisloze lettercombinaties in back-upcodes of bepaalde woordreeksen in \u2018seed phrases\u2019.<\/p>\n Tijdens onze analyse hebben we een lijst met trefwoorden opgevraagd die worden gebruikt voor OCR-zoekopdrachten vanaf de C2-servers van de trojan. Cybercriminelen zijn duidelijk ge\u00efnteresseerd in zinnen die worden gebruikt om toegang tot cryptowallets te herstellen, ook wel \u2018mnemonics\u2019 of ezelsbruggetjes genoemd<\/p><\/div>\n De trojan uploadt alle foto\u2019s met mogelijk waardevolle tekst naar de servers van de aanvallers, evenals gedetailleerde informatie over de herkende tekst en het apparaat waarvan de afbeelding is gestolen.<\/p>\n We hebben 10 schadelijke apps in de Google Play Store en 11 in de App Store ge\u00efdentificeerd. Op het moment van publicatie waren alle schadelijke apps uit de appstores verwijderd. Het totale aantal downloads via Google Play alleen al bedroeg op het moment van analyse meer dan 242.000. Onze telemetriegegevens suggereren dat dezelfde malware ook via andere sites en niet-offici\u00eble appstores verkrijgbaar was.<\/p>\n Tot de ge\u00efnfecteerde apps behoren populaire bezorgdiensten en berichtendiensten op basis van AI in zowel de Google Play Store als de App Store<\/p><\/div>\n Als je kijkt naar de woordenboeken van SparkCat is het duidelijk dat de trojan is \u2018getraind\u2019 om gegevens te stelen van gebruikers in verschillende Europese en Aziatische landen. Uit het bewijs blijkt dat de aanvallen al sinds maart 2024 gaande zijn. De makers van deze malware spreken waarschijnlijk vloeiend Chinees. Meer informatie hierover en over de technische aspecten van SparkCat, is te vinden in het volledige rapport op Securelist<\/a>.<\/p>\n Helaas is het eeuwenoude advies om alleen apps met hoge beoordelingen te downloaden uit offici\u00eble appstores niet langer waterdicht. Zelfs de App Store is inmiddels ge\u00efnfiltreerd door een ware infostealer en soortgelijke incidenten hebben zich herhaaldelijk voorgedaan<\/a> in de Google Play Store. Daarom moeten we de toepasselijke criteria een beetje aanscherpen: download alleen apps met een hoge beoordeling die duizenden of liever nog miljoenen keren zijn gedownload en die minstens enkele maanden geleden zijn gepubliceerd. Controleer ook de applinks in offici\u00eble bronnen (zoals de website van de ontwikkelaars) om er zeker van te zijn dat ze niet nep zijn en lees de beoordelingen (vooral de negatieve). En zorg er natuurlijk voor dat je een Kaspersky Premium<\/a>\u00a0op al je smartphones en computers hebt ge\u00efnstalleerd.<\/p>\n Het bekijken van negatieve beoordelingen over de ComeCome-app in de App Store kan gebruikers ervan hebben weerhouden om de app te downloaden<\/p><\/div>\n Wees ook uiterst voorzichtig<\/a> met het verlenen van toestemmingen aan nieuwe apps. Voorheen zorgde dit vooral voor problemen met de toegankelijkheidsinstellingen, maar nu is gebleken dat zelfs het verlenen van toegang tot de galerij kan leiden tot diefstal van persoonlijke gegevens. Als je twijfelt of een app legitiem is (bijvoorbeeld omdat het geen offici\u00eble berichtendienst is, maar een aangepaste versie), geef de app dan geen volledige toegang tot al je foto\u2019s en video\u2019s. Geef alleen toegang tot specifieke foto\u2019s wanneer dat nodig is.<\/p>\n Het is zeer onveilig om foto\u2019s van documenten, wachtwoorden, bankgegevens en seed phrases in de galerij van je smartphone te bewaren. Naast stealers als SparkCat bestaat er ook altijd het risico dat iemand naar de foto\u2019s kijkt of dat je ze per ongeluk uploadt naar een berichten- of bestandsuitwisselingsdienst. Dergelijke informatie moet in een speciale applicatie worden opgeslagen. Kaspersky Password Manager<\/a>, bijvoorbeeld. Hiermee kun je niet alleen wachtwoorden en tweefactorauthenticatietokens, maar ook bankpasgegevens en gescande documenten veilig opslaan en synchroniseren op al je apparaten, allemaal in gecodeerde vorm. Deze app zit overigens inbegrepen bij onze Kaspersky Plus<\/a>\u2013 en Kaspersky Premium<\/a>-abonnementen.<\/p>\n![\"SparkCat](\"https:\/\/media.kasperskydaily.com\/wp-content\/uploads\/sites\/99\/2025\/02\/13111837\/ios-android-ocr-stealer-sparkcat-01.png\")
<\/a>Diefstal die mogelijk wordt gemaakt door AI<\/h2>\n
![\"Trefwoorden](\"https:\/\/media.kasperskydaily.com\/wp-content\/uploads\/sites\/99\/2025\/02\/13111739\/ios-android-ocr-stealer-sparkcat-02.png\")
<\/a>Omvang en slachtoffers van de aanvallen<\/h2>\n
![\"Apps](\"https:\/\/media.kasperskydaily.com\/wp-content\/uploads\/sites\/99\/2025\/02\/13111655\/ios-android-ocr-stealer-sparkcat-03.png\")
<\/a>Hoe bescherm je jezelf tegen OCR-trojans?<\/h2>\n
![\"Negatieve](\"https:\/\/media.kasperskydaily.com\/wp-content\/uploads\/sites\/99\/2025\/02\/13111528\/ios-android-ocr-stealer-sparkcat-04.png\")
<\/a>