Zaawansowany trojan omija zabezpieczenia Apple i Google w celu pozyskiwania fraz seed kryptowalut z mobilnych fotografii urządzeń, co oznacza znaczną eskalację ataków na kryptowaluty.
Badacze z Kaspersky odkryli nową kampanię malware mobilnego o nazwie "SparkKitty", która zdołała się przedostać zarówno do App Store Apple, jak i Google Play Store, kompromitując ponad 5 000 użytkowników kryptowalut w Chinach i Azji Południowo-Wschodniej.
Złośliwe oprogramowanie koncentruje się na kradzieży zrzutów ekranu z frazami seed portfeli przechowywanych w galeriach telefonów komórkowych, co stanowi znaczący rozwój w atakach na kryptowaluty, które wykorzystują podstawowe luki mobilnych zabezpieczeń.
Według najnowszego raportu bezpieczeństwa Kaspersky'ego złośliwe oprogramowanie jest aktywne co najmniej od początku 2024 roku. W przeciwieństwie do tradycyjnych metod dystrybucji malware, SparkKitty osiągnęło niesamowity sukces dzięki osadzeniu się w aplikacjach o legitymacyjnym wyglądzie na obu głównych platformach mobilnych, w tym narzędziach do śledzenia cen kryptowalut, aplikacjach do hazardu i zmodyfikowanych wersjach popularnych aplikacji społecznościowych takich jak TikTok.
Najbardziej niepokojący aspekt tej kampanii to skuteczne omijanie zarówno rygorystycznego procesu przeglądu App Store firmy Apple, jak i systemu Play Protect firmy Google. Jedna z zainfekowanych aplikacji komunikatora, SOEX, osiągnęła ponad 10 000 pobrań przed wykryciem i usunięciem, co pokazuje zdolność malware do działania niezauważalnie w oficjalnych ekosystemach aplikacji przez dłuższy czas.
Zaawansowana Metodologia Zbierania Danych
SparkKitty reprezentuje znaczny postęp techniczny w porównaniu do swojego poprzednika, SparkCat, który został zidentyfikowany w styczniu 2025 roku. W przeciwieństwie do tradycyjnego malware, które wybiórczo celuje w dane wrażliwe, SparkKitty bez ogródek kradnie wszystkie obrazy z zainfekowanych urządzeń, tworząc obszerne bazy danych zdjęć użytkowników, które są następnie przesyłane na zdalne serwery do analizy.
Złośliwe oprogramowanie działa poprzez zaawansowany proces wieloetapowy. Po zainstalowaniu za pomocą zwodniczych profili konfiguracyjnych, SparkKitty żąda standardowych uprawnień dostępu do galerii zdjęć - żądanie, które wydaje się rutynowe dla większości użytkowników. Po przyznaniu dostępu, trojan nieustannie monitoruje bibliotekę zdjęć urządzenia pod kątem zmian, tworząc lokalne bazy danych uchwyconych obrazów przed ich przesłaniem na serwery kontrolowane przez atakującego.
Badacze Kaspersky podkreślają, że głównym celem atakujących wydaje się być identyfikowanie i wydobywanie fraz seed kryptowalut z zrzutów ekranu przechowywanych na zainfekowanych urządzeniach. Te 12-24 słów rekonwalescencji frazy zapewniają pełny dostęp do zasobów cyfrowych użytkowników, co czyni je niezwykle wartościowymi celami dla cyberprzestępców.
Pojawienie się SparkKitty ma miejsce na tle eskalującej przestępczości związanej z kryptowalutami. Według analizy TRM Labs z 2024 roku, niemal 70% z 2,2 miliarda dolarów w skradzionych kryptowalutach pochodziło z ataków na infrastrukturę, szczególnie tych związanych z kradzieżą kluczy prywatnych i fraz seed. W styczniu 2025 roku samo 9 220 ofiar straciło 10,25 miliona dolarów na pułapkach phishingowych związanych z kryptowalutami, co podkreśla ciągłą i ewoluującą naturę zagrożeń skierowanych na kryptowaluty.
Obecne geograficzne skupienie się malware na Chinach i Azji Południowo-Wschodniej odzwierciedla szersze trendy adopcji kryptowalut i celowania przez cyberprzestępców. Jednak eksperci ds. bezpieczeństwa ostrzegają, że zdolności techniczne SparkKitty i udowodniona skuteczność sprawiają, że ekspansja na skalę globalną wydaje się wysoko prawdopodobna. Zdolność malware do infiltracji oficjalnych sklepów z aplikacjami sugeruje, że żadne ekosystemy mobilne nie są odporne na zaawansowane ataki skierowane na kryptowaluty.
Ewolucja Techniczna i Atrybucja
Analiza kryminalistyczna ujawnia znaczące powiązania między SparkKitty a wcześniejszą kampanią malware SparkCat. Oba trojany dzielą symbole debugowania, wzorce konstrukcji kodu i kilka zainfekowanych aplikacji, sugerując skoordynowany rozwój przez tych samych aktorów zagrożeń. Jednak SparkKitty wykazuje istotne udoskonalenia techniczne, w tym zwiększone możliwości zbierania danych i poprawione techniki unikania wykrycia.
SparkCat celował specjalnie w frazy odzyskiwania portfeli kryptowalut, używając technologii rozpoznawania znaków optycznych do wyodrębnienia tych fraz z obrazów, podczas gdy SparkKitty przyjmuje szersze podejście, zbierając wszystkie dostępne dane obrazów do późniejszego przetwarzania. Ta ewolucja sugeruje, że atakujący optymalizują swoje operacje pod kątem maksymalnej wydajności zbierania danych, jednocześnie zmniejszając przetwarzanie na urządzeniu, które mogłoby wywołać alerty bezpieczeństwa.
Kampania SparkKitty ujawnia fundamentalne słabości w praktykach bezpieczeństwa mobilnego dotyczących kryptowalut. Wielu użytkowników rutynowo robi zrzuty ekranu z fraz seed, tworząc kopie cyfrowe, które stają się głównymi celami dla malware takich jak SparkKitty. Ta praktyka, choć zrozumiała z perspektywy doświadczenia użytkownika, stwarza krytyczne luki w zabezpieczeniach, które zaawansowani atakujący coraz częściej wykorzystują.
Badacze ds. bezpieczeństwa podkreślają, że zagrożenie sięga poza indywidualnych użytkowników do szerszego ekosystemu kryptowalut. Codziennie wykrywa się 560 000 nowych kawałków złośliwego oprogramowania, a platformy mobilne stają się coraz bardziej atrakcyjnymi celami wraz z przyspieszeniem adopcji kryptowalut na świecie.
Sukces malware w omijaniu zabezpieczeń sklepów z aplikacjami podnosi również pytania o skuteczność obecnych mobilnych ram ochrony. Zarówno Apple, jak i Google wdrożyły zaawansowane procesy przeglądu zaprojektowane, aby zapobiec dotarciu złośliwych aplikacji do użytkowników, jednak udana infiltracja SparkKitty pokazuje, że zdeterminowani atakujący mogą nadal obejść te zabezpieczenia.
Reakcja Przemysłu i Środki Obronności
Po ujawnieniu przez Kaspersky, zarówno Apple, jak i Google rozpoczęli procedury usuwania zarażonych aplikacji SparkKitty. Jednak dynamiczna natura zagrożenia oznacza, że mogą się pojawiać nowe odmiany, co wymaga ciągłej czujności zarówno od badaczy ds. bezpieczeństwa, jak i operatorów sklepów z aplikacjami.
Eksperci ds. bezpieczeństwa kryptowalut zalecają natychmiastowe środki obronne dla użytkowników portfeli mobilnych. Podstawowe zalecenia obejmują unikanie cyfrowego przechowywania fraz seed, korzystanie z portfeli sprzętowych dla znaczących środków i wdrażanie rygorystycznych audytów uprawnień aplikacji. Użytkownicy powinni sprawdzić istniejące galerie zdjęć w poszukiwaniu przechowywanych zarazek portfeli i natychmiast usunąć takie obrazy.
Incydent ten spowodował również odnowioną dyskusję na temat standardów bezpieczeństwa kryptowalut mobilnych. Liderzy branży wzywają do ukztatnienia wymagania dla aplikacji związanych z kryptowalutami, w tym do przeprowadzania obligatoryjnych audytów bezpieczeństwa i ścisłych modeli uprawnień dla aplikacji obsługujących wrażliwe dane finansowe.
Choć SparkKitty obecnie skupia się na rynkach azjatyckich, eksperci ds. cybernetycznych ostrzegają, że ekspansja globalna wydaje się nieunikniona. Udowodniona skuteczność malware i uniwersalna natura użytkowania kryptowalut mobilnych sugerują, że zachodnie rynki mogą wkrótce stanąć przed podobnymi zagrożeniami. Do 2025 roku cyberprzestępczość - w tym ataki wywołane przez malware - może kosztować światową gospodarkę 10,5 biliona dolarów rocznie, a malware atakujące kryptowaluty staje się rosnącym składowym tego krajobrazu zagrożeń.
Zaawansowany charakter infiltracji aplikacji w sklepie przez SparkKitty sugeruje, że podobne kampanie mogą już trwać w innych regionach. Badacze bezpieczeństwa wzywają do zwiększenia międzynarodowej współpracy w walce z malware kryptowalutowym w mobilnych platformach, w tym do poprawy wymiany informacji między operatorami sklepów z aplikacjami i organizacjami ds. cyberbezpieczeństwa.
Ocena Przyszłych Zagrożeń
Kampania SparkKitty stanowi istotną eskalację zagrożeń dla kryptowalut mobilnych, łącząc zaawansowane możliwości techniczne z sprawdzonymi mechanizmami dystrybucji. W miarę jak adopcja kryptowalut globalnie się rozszerza, podobne zagrożenia prawdopodobnie wzrosną zarówno pod względem częstotliwości, jak i złożoności.
Eksperci ds. bezpieczeństwa przewidują, że przyszłe iteracje złośliwego oprogramowania ukierunkowanego na kryptowaluty będą prawdopodobnie zawierały dodatkowe techniki unikania, w tym ulepszone metody omijania aplikacji sklepów i bardziej zaawansowane możliwości wywłaszczania danych. Sukces podejścia do zbierania zdjęć SparkKitty może zainspirować dodatkowe rodziny złośliwego oprogramowania do przyjęcia podobnych metodologii, tworząc narastające środowisko zagrożeń dla użytkowników kryptowalut mobilnych.
Incydent podkreśla krytyczne znaczenie solidnych praktyk mobilnego zabezpieczania dla posiadaczy kryptowalut. W miarę jak wartości aktywów cyfrowych nadal rosną, a rozszerzenie adopcji staje się coraz bardziej powszechne, urządzenia mobilne reprezentują coraz bardziej atrakcyjne cele dla zaawansowanych organizacji cyberprzestępczych.
Użytkownicy muszą odpowiednio dostosować swoje praktyki zabezpieczeń, priorytetowo traktując korzystanie z portfeli sprzętowych i eliminowanie cyfrowego przechowywania fraz seed, aby chronić swoje zasoby kryptowalutowe przed rozwijającymi się zagrożeniami mobilnymi malware.