Podle zprávy společnosti Kaspersky byl v podezřelých aplikacích v App Store poprvé nalezen malware, který obsahuje kód pro čtení obsahu snímků obrazovky. Malware přezdívaný „SparkCat“ obsahuje funkce OCR pro zachycení citlivých informací.
Aplikace, které společnost Kaspersky objevila, jsou zaměřeny na vyhledání obnovovacích frází pro kryptopeněženky, které by útočníkům umožnily ukrást bitcoiny a další kryptoměny. Aplikace obsahují škodlivý modul, který používá zásuvný modul OCR vytvořený pomocí knihovny Google ML Kit k rozpoznání textu nalezeného uvnitř obrázků na iPhonu. Když je nalezen relevantní obrázek kryptopeněženky, je odeslán na server, ke kterému má hacker přístup. Podle Kaspersky je SparkCat aktivní přibližně od března 2024. Podobný malware byl objeven v roce 2023, který cílil na Android a PC zařízení, ale nyní se rozšířil na iOS. Společnost Kaspersky nalezla několik aplikací v App Store se spywarem OCR, včetně ComeCome, WeTink a AnyGPT.
Aplikace po stažení žádají o povolení k přístupu k fotkám uživatele, a pokud je jim uděleno, použijí funkci OCR k třídění obrázků a hledají relevantní text. Několik aplikací je stále v App Store a zdá se, že cílí na uživatele iOS v Evropě a Asii. Zatímco aplikace jsou zaměřeny na krádeže kryptografických informací, Kaspersky říká, že malware je dostatečně flexibilní, že by mohl být také použit pro přístup k dalším datům zachyceným na snímcích obrazovky, jako jsou hesla. Ovlivněny jsou také aplikace pro Android, včetně aplikací z obchodu Google Play, ale uživatelé iOS často očekávají, že jejich zařízení budou odolná vůči malwaru. Apple kontroluje každou aplikaci v App Store a škodlivá aplikace značí selhání procesu kontrolyApple. V tomto případě se zdá, že v aplikaci není zjevný náznak trojského koně a oprávnění, která aplikace vyžaduje, se zdají být potřebná pro základní funkce.
