كشف باحثون في مجال الأمن السيبراني عن نسخة جديدة من برمجية SparkCat الخبيثة داخل متجر Apple App Store ومتجر Google Play Store، وذلك بعد أكثر من عام على اكتشافها لأول مرة. هذه النسخة تتخفى داخل تطبيقات تبدو طبيعية مثل تطبيقات المراسلة المؤسسية وخدمات توصيل الطعام، لكنها تعمل في الخفاء على فحص مكتبات الصور في هواتف الضحايا بحثاً عن صور تحتوي على عبارات الاستعادة الخاصة بمحافظ العملات المشفرة.
شركة الأمن الروسية Kaspersky أوضحت أنها رصدت تطبيقين مصابين على متجر آبل وتطبيقاً واحداً على متجر غوغل، تستهدف بشكل أساسي مستخدمي العملات الرقمية في آسيا.
اختلافات بين نسختي iOS وAndroid
النسخة الخاصة بنظام iOS تتبع أسلوباً مختلفاً، إذ تبحث عن العبارات الاستعادية المكتوبة بالإنجليزية، ما يمنحها قدرة على الانتشار عالمياً دون قيود جغرافية. أما نسخة Android فقد تم تحسينها عبر طبقات إضافية من الإخفاء، بما في ذلك استخدام تقنيات تخيل الكود (Code Virtualization) ولغات برمجة متعددة المنصات لتجنب التحليل الأمني. كما أنها تبحث عن كلمات مفتاحية باليابانية والكورية والصينية، ما يؤكد تركيزها على السوق الآسيوي.
تقنيات متقدمة في سرقة البيانات
منذ توثيقها لأول مرة في فبراير 2025، عُرفت SparkCat بقدرتها على استخدام تقنيات التعرف البصري على الحروف (OCR) لاستخراج النصوص من الصور التي تحتوي على عبارات الاستعادة، ثم إرسالها إلى خوادم يسيطر عليها المهاجمون. النسخة الجديدة تحافظ على هذه القدرة مع تحسينات تجعلها أكثر خطورة، حيث تطلب الوصول إلى الصور المخزنة في الهاتف وتفحصها بحثاً عن كلمات مفتاحية مرتبطة بالعملات المشفرة، ثم تنقل الصور ذات الصلة مباشرة إلى المهاجمين.
الباحث سيرغي بوزان من Kaspersky أكد أن التشابه الكبير بين النسخة الحالية والنسخة السابقة يشير إلى أن مطوري البرمجية هم أنفسهم، وأن الحملة الجديدة تؤكد الحاجة الملحة لاستخدام حلول أمنية متقدمة على الهواتف الذكية لحماية المستخدمين من هذا النوع من التهديدات.
خلفيات ودلالات أمنية
تقييمات سابقة ربطت نشاط SparkCat بجهات ناطقة بالصينية، ما يعكس احتمال أن تكون هذه البرمجية جزءاً من عمليات منظمة تستهدف قطاع العملات المشفرة بشكل متواصل. ويأتي هذا التطور في وقت تتزايد فيه الهجمات على مستخدمي الهواتف الذكية، حيث أصبحت الصور الشخصية ومكتبات الوسائط هدفاً مباشراً للمهاجمين، خاصة مع اعتماد الكثير من المستخدمين على تخزين عبارات الاستعادة في شكل صور بدلاً من النصوص المكتوبة.
هذا النوع من الهجمات يبرز خطورة الاعتماد على الهواتف الذكية كمخزن رئيسي للمعلومات الحساسة، ويؤكد أن التهديدات لم تعد مقتصرة على الحواسيب أو الشبكات التقليدية، بل امتدت إلى التطبيقات اليومية التي يستخدمها ملايين الأشخاص حول العالم.
