Зловредният софтуер SparkKitty краде криптовалута чрез достъп до снимки в Android и iOS устройства, включително от официалните магазини за приложения.
Нова заплаха дебне потребителите на криптовалута, инсталирали приложения от официалните магазини Google Play и Apple App Store. Според разследване на Kaspersky, зловреден софтуер с име SparkKitty е открит в приложения и за двете платформи, като целта му е да открадне снимки, съдържащи възстановителни фрази на криптопортфейли – и с тях, достъп до активи.
Еволюция на SparkCat с още по-опасни способности
SparkKitty изглежда е наследник на открития в началото на 2024 г. малуер SparkCat, който използва оптично разпознаване на символи (OCR), за да извлича seed фрази от изображения, съхранени на устройствата. Това позволява на нападателите да възстановят портфейла на жертвата на друго устройство и да прехвърлят средствата.
Според Kaspersky, SparkKitty вече не подбира – той краде всички изображения, до които има достъп. Така освен крипто данни, може да бъдат откраднати и чувствителни лични снимки, използвани за изнудване или други злоупотреби.
Как се разпространява SparkKitty?
Малуерът се разпространява както чрез официални магазини, така и чрез неофициални платформи. Засечени са следните зловредни приложения:
-
币coin – в App Store (вече премахнато);
-
SOEX – в Google Play (с над 10 000 изтегляния);
-
TikTok клонинги, фалшиви онлайн крипто магазини, казино приложения и др., разпространявани чрез неофициални сайтове и инсталации с профили.
На iOS, SparkKitty е прикрит като фалшиви библиотеки (напр. AFNetworking.framework) и често използва enterprise provisioning профили, за да се инсталира извън App Store.
На Android, кодът е вграден в Java/Kotlin приложения или в злонамерени модули за Xposed/LSPosed.
Как работи атаката?
На iOS, зловредният код се активира автоматично чрез метод +load и проверява конфигурацията на приложението. Ако всичко съвпада, SparkKitty иска достъп до галерията. При разрешение, следи за промени и експортира всички нови или още некачени изображения към C2 сървъри.
На Android, приложението иска достъп до съхранение. При разрешение, изпраща изображенията, както и информация за устройството. Част от версиите използват Google ML Kit OCR, за да филтрират само изображения с текст – така се търсят seed фрази.
Данните се изпращат криптирани чрез AES-256 (ECB режим) към сървърите на атакуващите.
Какво означава това за потребителите?
SparkKitty е поредният пример, че дори официалните магазини за приложения не са напълно защитени от зловреден код. Препоръките на Kaspersky и експертите по сигурност включват:
-
Никога не съхранявайте снимки на seed фрази на мобилно устройство;
-
Отказвайте достъп до галерията, ако не е необходимо за основната функция на приложението;
-
Внимавайте с фалшиви приложения, особено такива с малко изтегляния, но много позитивни коментари;
-
На iOS, избягвайте инсталация на профили/сертификати от непроверени източници;
-
На Android, активирайте Google Play Protect и сканирайте устройството периодично.
Реакции на Apple и Google
И двете компании вече са премахнали зловредните приложения. Google обяви, че е блокирал акаунта на разработчика и че Google Play Protect автоматично защитава потребителите, независимо откъде е изтеглено приложението.
SparkKitty показва новото лице на крипто престъпността – съчетавайки официални платформи, социално инженерство и технически трикове, за да открадне не само дигитални активи, но и лични данни. В ерата на мобилните финанси, сигурността започва със знание и предпазливост.
