カスペルスキーの報告によると、初めてスクリーンショットの内容を読み取るコードを含むマルウェア「SparkCat」が、疑わしいApp Storeアプリに見つかりました。このマルウェアはOCR機能を搭載しており、iPhoneユーザーが撮影したスクリーンショットから敏感な情報を抽出します。カスペルスキーが発見したアプリは仮想通貨ウォレットの復旧フレーズを探すことを狙っており、攻撃者がビットコインなどを盗む可能性があります。
このアプリは、GoogleのML Kitライブラリを利用したOCRプラグインを組み込んでおり、関連画像を見つけると、それを攻撃者のサーバーに送信します。SparkCatは2024年3月頃から活動しているとされています。2023年にはAndroidやPCを標的にした同様のマルウェアが見つかっていますが、今回iOSにも広がりました。
カスペルスキーは、ComeCome、WeTink、AnyGPTなどのOCRスパイウェアを含む複数のApp Storeアプリを特定しましたが、作成者の故意なのか供給連鎖攻撃なのかは不明です。感染したアプリは、ダウンロード後にユーザーの写真へのアクセスを求め、その許可が得られるとOCR機能を使って画像内の関連テキストを検索します。
受害者は主に欧州やアジアのiOSユーザーですが、マルウェアは他のデータ、例えばパスワードにもアクセスできる柔軟性があります。Google PlayストアのAndroidアプリも影響を受けていますが、iOSユーザーは一般に自分のデバイスがマルウェアに強いと考えています。AppleはApp Storeのアプリをすべて審査しますが、この場合、明らかなトロイの木馬の兆候は見られず、求められる権限も基本機能に必要なもののようです。
カスペルスキーは、仮想通貨ウォレットの復旧フレーズなどの敏感情報を含むスクリーンショットをフォトライブラリに保存しないことをすすめています。感染しているiOSフレームワークの全リストはカスペルスキーのウェブサイトで確認できます。
