カスペルスキーの脅威リサーチ部門は、モバイルアプリストアのApp StoreとGoogle Playで少なくとも2024年3月から公開されていたデータを窃取する新たなトロイの木馬「SparkCat（スパークキャット）」を発見したと発表した。光学認識を使用するマルウェアがApp Storeに登場したことが確認されたのは初めて。

　SparkCatは、機械学習を用いて画像ギャラリーをスキャンし、暗号資産（仮想通貨）ウォレットのリカバリーフレーズを含んだスクリーンショットを窃取するほか、画像ギャラリー内でパスワードなどの機密データを検出して抜き出すこともできる。特定したすべてのSparkCatサンプルには、日本語の文字を認識できるモデルが含まれていたため、侵害されたアプリの言語に関わらず、画像ギャラリー内の日本語のスクリーンショットを標的にできた可能性がある。

　このマルウェアは、メッセンジャー、AIアシスタント、フードデリバリー、暗号資産関連ほか、感染し改変された正規のアプリや偽のアプリを通じて拡散している。こうしたアプリの一部は、公式アプリストアのApp StoreとGoogle Playで公開されている。また、同社のテレメトリデータからは、アプリの侵害されたバージョンが非公式の提供元を通じて配布されていることもわかっている。Google Play上では、こうしたアプリが現在までに24万2000回以上ダウンロードされている。

　脅威リサーチ部門のリサーチャーは、感染したアプリが展開されている地域に関する情報とマルウェアの技術的解析を基に、このマルウェアは主にUAE、欧州、アジアの国々のユーザーを標的としているとみている。SparkCatは、中国語、日本語、韓国語、英語、チェコ語、フランス語、イタリア語、ポーランド語、ポルトガル語のほか、複数の言語のキーワードについて、画像ギャラリーをスキャンして検出する。リサーチャーは、それ以外の国のユーザーが標的になることもあり得ると考えている。

　SparkCatの仕組みとしては、インストールされた後、特定の状況でユーザーのスマートフォンのギャラリーにある写真へのアクセス権を要求し、許可が与えられると、次に、光学的文字認識（OCR）モジュールを使用して、保存されている画像のなかにある文字列を解析する。目的に合うキーワードを検出した場合は、その画像を攻撃者に送信する。攻撃者の主な目的は、暗号資産ウォレットのリカバリーフレーズを見つけること。この情報を入手すれば、標的ユーザーのウォレットに対する完全な権限を取得して、資金を窃取することができる。リカバリーフレーズ以外にも、スクリーンショットからメッセージやパスワードのほか個人の情報を抽出することができる。

　脅威リサーチ部門のリサーチャーがSmartCatのAndroid版を分析した際に、マルウェアのコードに中国語で書かれたコメントを見つけている。またiOS版では、開発者のホームディレクトリ名に「qiongwu」と「quiwengjing」の文字列があり、この攻撃活動の背後には中国語に精通している主体の存在がうかがえる。ただし、この攻撃活動を既知のサイバー犯罪グループに結びつけるには証拠は不十分である。

　サイバー犯罪者は、悪質のあるツールでニューラルネットワークに着目するケースが増えている。SparkCatの場合、AndroidモジュールがGoogle ML Kitライブラリーを使用したOCRプラグインを復号して実行し、保存された画像内の文字列を認識する。iOS版の悪意あるモジュールでも同様の手法が用いられていた、としている。