Kaspersky Labs zidentyfikował zaawansowaną kampanię złośliwego oprogramowania, której celem są użytkownicy kryptowalut poprzez złośliwe zestawy SDK osadzone w aplikacjach mobilnych dostępnych na Google Play i Apple App Store. Oprogramowanie nazwane "SparkCat" wykorzystuje optyczne rozpoznawanie znaków do skanowania zdjęć użytkowników w poszukiwaniu fraz odzyskiwania portfela kryptowalut, które hakerzy następnie używają, aby uzyskać dostęp i wyczerpać środki w dotkniętych portfelach.

W obszernym raporcie z dnia 4 lutego 2025 roku, badacze Kaspersky, Sergey Puzan i Dmitry Kalinin opisali jak złośliwe oprogramowanie SparkCat przenika do urządzeń i wyszukuje obrazy w poszukiwaniu fraz odzyskiwania przez wykrywanie słów kluczowych w różnych językach. Po uzyskaniu tych fraz, atakujący zyskują nieograniczony dostęp do portfeli crypto ofiar. Hakerzy w ten sposób osiągają pełną kontrolę nad funduszami, co podkreślili badacze.

Co więcej, złośliwe oprogramowanie zostało zaprojektowane, aby kraść dodatkowe poufne informacje, takie jak hasła i prywatne wiadomości uchwycone na zrzutach ekranu. Szczególnie na urządzeniach z Androidem, SparkCat podaje się za moduł analizy oparty na Javie o nazwie Spark. Oprogramowanie otrzymuje aktualizacje operacyjne z zaszyfrowanego pliku konfiguracyjnego na GitLab i wykorzystuje funkcję OCR Google ML Kit do wyodrębniania tekstu z obrazów na zainfekowanych urządzeniach. Wykrycie frazy odzyskiwania powoduje, że oprogramowanie przesyła informacje z powrotem do atakujących, pozwalając im na import portfela kryptowalutowego ofiary na swoje urządzenia.

Kaspersky szacuje, że od momentu pojawienia się w marcu 2023 roku, SparkCat został pobrany około 242,000 razy, najbardziej dotykając użytkowników w Europie i Azji.

W osobnym, ale powiązanym raporcie z połowy 2024 roku, Kaspersky monitorował inną kampanię złośliwego oprogramowania na Androidzie, związaną z fałszywymi APK-ami jak Tria Stealer, które przechwytują wiadomości SMS i logi połączeń, oraz kradnie dane Gmail.

Obecność tego złośliwego oprogramowania obejmuje liczne aplikacje, niektóre z pozoru legitymne jak usługi dostarczania jedzenia, a inne zaprojektowane, aby przyciągać nieświadomych użytkowników, takie jak aplikacje do przesyłania wiadomości z funkcją AI. Wspólne cechy tych zainfekowanych aplikacji to użycie języka programowania Rust, możliwości cross-platformowe i zaawansowane metody zaciemniania, aby uniknąć wykrycia.

Pochodzenie SparkCat pozostaje niejasne. Badacze nie przypisali złośliwego oprogramowania żadnej znanej grupie hakerskiej, ale zauważyli komentarze i komunikaty o błędach w języku chińskim w kodzie, co sugeruje płynność w języku chińskim przez dewelopera. Choć wykazuje podobieństwa do kampanii odkrytej przez ESET w marcu 2023 roku, jego dokładne źródło pozostaje niezidentyfikowane.

Kaspersky stanowczo doradza użytkownikom, aby unikali przechowywania poufnych informacji, takich jak frazy odzyskiwania portfela kryptowalut w galeriach zdjęć. Zamiast tego zalecają używanie menedżerów haseł i regularne skanowanie oraz eliminowanie podejrzanych aplikacji.

Odkrycia zostały pierwotnie zgłoszone na 99Bitcoins w artykule zatytułowanym "Malicious SDKs on Google Play and App Store Steal Crypto Seed Phrases: Kaspersky."