Kaspersky Labs обнаружила сложную кампанию вредоносного ПО, нацеленную на пользователей криптовалюты через вредоносные комплекты разработки программного обеспечения, встроенные в мобильные приложения, доступные в Google Play и Apple App Store. Названная "SparkCat", это вредоносное ПО использует оптическое распознавание символов для сканирования фотографий пользователей на наличие фраз восстановления криптокошелька, которые хакеры затем используют для доступа и обнуления затронутых кошельков.

В подробном отчете от 4 февраля 2025 года исследователи Kaspersky Сергей Пузан и Дмитрий Калинин подробно описали, как вредоносное ПО SparkCat проникает на устройства и ищет изображения с фразами восстановления через многоязычное распознавание ключевых слов. Как только эти фразы получены, злоумышленники получают неограниченный доступ к криптокошелькам жертв. Хакеры таким образом получают полный контроль над средствами, как подчеркивают исследователи.

Более того, вредоносное ПО предназначено для кражи дополнительной конфиденциальной информации, такой как пароли и личные сообщения, зафиксированные на скриншотах. В частности, на устройствах Android SparkCat маскируется под модуль аналитики на базе Java, называемый Spark. Вредоносное ПО получает обновления с зашифрованного конфигурационного файла на GitLab и использует Google's ML Kit OCR для извлечения текста из изображений на зараженных устройствах. Обнаружение фразы восстановления приводит к отправке вредоносным ПО информации обратно злоумышленникам, позволяя им импортировать криптокошелек жертвы на свои устройства.

Kaspersky оценивает, что с момента своего появления в марте 2023 года SparkCat было загружено около 242,000 раз, в основном затрагивая пользователей в Европе и Азии.

В отдельном, но связанном отчете середины 2024 года, Kaspersky отслеживала другую кампанию вредоносного ПО для Android, включающую обманные APK, такие как Tria Stealer, который перехватывает SMS-сообщения и журналы звонков, а также похищает данные Gmail.

Присутствие этого вредоносного ПО охватывает множество приложений, некоторые из которых выглядят легитимными, как службы доставки еды, а другие предназначены для привлечения неосведомленных пользователей, такие как приложения для обмена сообщениями с функциями AI. Общими чертами среди этих инфицированных приложений являются использование языка программирования Rust, кроссплатформенные возможности и сложные методы сокрытия для обхода обнаружения.

Источники SparkCat остаются неясными. Исследователи не связывают вредоносное ПО с какой-либо известной группой хакеров, но отмечают комментарии и сообщения об ошибках на китайском языке в коде, что предполагает владение китайским языком у разработчика. Хотя он имеет сходства с кампанией, раскрытой ESET в марте 2023 года, его точный источник остается неопределенным.

Kaspersky настоятельно рекомендует пользователям не хранить конфиденциальную информацию, такую как фразы восстановления криптокошельков, в их фотоальбомах. Вместо этого они рекомендуют использовать менеджеры паролей и регулярно сканировать и удалять подозрительные приложения.

Первоначально результаты были опубликованы на 99Bitcoins в статье под названием "Malicious SDKs on Google Play and App Store Steal Crypto Seed Phrases: Kaspersky."