カスペルスキーの報告によると、スクリーンショットの内容を読み取るコードを含むマルウェア「SparkCat」が、初めて疑わしいApp Storeアプリ内で発見されました。このマルウェアはOCR機能を持ち、iPhoneユーザーが撮影したスクリーンショットから敏感な情報を抽出します。カスペルスキーが発見したアプリは、暗号通貨のウォレットの復元フレーズを探すことを目的としており、攻撃者がビットコインなどを盗むことが可能になります。これらのアプリは、GoogleのML Kitライブラリを使用した悪意のあるモジュールを含んでおり、iPhone内の画像からテキストを認識します。関連する画像が見つかると、それが攻撃者がアクセスするサーバーに送信されます。また、SparkCatは2024年3月から活動しているとされています。カスペルスキーは、ComeComeやWeTink、AnyGPTなど、OCRスパイウェアが組み込まれた複数のApp Storeアプリを特定していますが、感染が開発者の意図的な行為か、供給連鎖攻撃の結果かは不明です。感染したアプリは、ダウンロード後にユーザーの写真へのアクセス許可を求め、許可が与えられるとOCR機能を利用して関連テキストを検索します。これらのアプリは依然としてApp Storeにあり、主にヨーロッパとアジアのiOSユーザーを狙っています。カスペルスキーは、マルウェアが暗号情報の窃取を目的としているが、パスワードなど他のスクリーンショットにキャプチャされたデータにアクセスするためにも使用される可能性があると述べています。Androidアプリにも影響がありますが、iOSユーザーはデバイスがマルウェアに強いと期待しています。AppleはApp Store内のすべてのアプリを確認しますが、悪意のあるアプリが存在することはAppleのアプリレビュー過程の失敗を意味します。このケースでは、アプリに明らかなトロイの木馬の兆候はなく、要求されるアクセス許可は基本機能に必要なもののようです。カスペルスキーは、暗号ウォレットの復元フレーズなどの敏感な情報を含むスクリーンショットをフォトライブラリに保存しないことをユーザーに勧めています。感染したiOSフレームワークの完全なリストやマルウェアに関するさらなる情報はカスペルスキーのウェブサイトで入手可能です。
