Kaspersky Labsは、Google PlayとApple App Storeで利用可能なモバイルアプリに組み込まれた悪意のある ソフトウェア開発キットを介して、暗号通貨ユーザーをターゲットにした高度なマルウェアキャンペーンを特定しました。 「SparkCat」と名付けられたこのマルウェアは、光学文字認識を利用して、暗号通貨ウォレットの リカバリーフレーズを検索するためにユーザーの写真をスキャンし、 ハッカーはこれを使用してウォレットにアクセスし、枯渇させます。

2025年2月4日付の包括的な報告書で、 Kasperskyの研究者であるSergey PuzanとDmitry Kalininは、 SparkCatマルウェアがデバイスに侵入し、多言語のキーワード検出を通じて リカバリーフレーズを検索する方法を詳細に説明しました。 これらのフレーズが取得されると、攻撃者は被害者の暗号ウォレットへの 無制限のアクセスを得ます。 この結果、研究者によって強調されたように、攻撃者は資金を完全に管理できるようになります。

さらに、このマルウェアは、スクリーンショットにキャプチャされたパスワードや プライベートメッセージなどの追加の機密情報を盗むように設計されています。 特にAndroidデバイスでは、SparkCatはSparkというJavaベースの 分析モジュールとして偽装します。 マルウェアはGitLab上の暗号化された設定ファイルから 操作上の更新を受け取り、GoogleのML Kit OCRを利用して、 感染したデバイスから画像のテキストを抽出します。 リカバリー フレーズが検出されると、マルウェアは情報を 攻撃者に送り返し、被害者の暗号ウォレットを攻撃者のデバイスに インポートすることが可能になります。

Kasperskyは、2023年3月に出現して以来、SparkCatが約242,000回 ダウンロードされ、主にヨーロッパとアジアのユーザーに 影響を与えていると推定しています。

2024年半ばの関連報告書では、KasperskyはTria Stealerのような 騙すAPKを介した別のAndroidマルウェアキャンペーンを監視しています。 これには、SMSメッセージと通話履歴の傍受、およびGmailデータの盗難が含まれます。

このマルウェアは多数のアプリに広がっており、食料配達サービスのように 一見合法なものもあれば、AI対応メッセージングアプリのように 注意不足なユーザーを引き付けることを意図したものもあります。 これらの感染したアプリの一般的な特徴には、Rustプログラミング言語の使用、 クロスプラットフォーム機能、および検出を回避する高度な難読化方法が含まれます。

SparkCatの起源は不明です。 研究者たちは、このマルウェアを既知のハッキンググループに 帰属させていないが、コード内の中国語のコメントとエラーメッセージを 指摘しており、開発者が中国語に精通していることを示しています。 2023年3月にESETによって発見されたキャンペーンとの類似点を持ちながらも、 その正確な出所は特定されていません。

Kasperskyは、暗号ウォレットのリカバリーフレーズなどの機密情報を 写真ギャラリーに保存しないよう強く勧告しています。 代わりに、パスワードマネージャーを使用し、疑わしいアプリケーションを 定期的にスキャンして排除することを推奨しています。

この調査結果は、99Bitcoinsで「悪意のあるSDKがGoogle Playと App Storeで暗号シードフレーズを盗む： Kaspersky」というタイトルの記事で最初に報告されました。