Сложный троян обходит защиту Apple и Google, чтобы собирать seed-фразы криптовалют из фотографий на мобильных устройствах, что ознаменовало значительное обострение мобильных атак на криптовалюту.
Исследователи по безопасности из Kaspersky обнаружили новую сложную кампанию мобильного вредоносного ПО под названием "SparkKitty", которая успешно проникла как в App Store Apple, так и в Google Play Store, компрометируя более 5,000 пользователей криптовалют в Китае и Юго-Восточной Азии.
Вредоносное ПО сосредотачивается на краже скриншотов seed-фраз криптокошельков, хранящихся в галереях мобильных телефонов, что представляет собой значительное развитие атак на криптовалюту, эксплуатирующих фундаментальные уязвимости мобильной безопасности.
Вредоносное ПО активно по крайней мере с начала 2024 года, согласно последнему отчету по безопасности от Kaspersky, выпущенному на этой неделе. В отличие от традиционных методов распространения вредоносного ПО, SparkKitty добилась выдающегося успеха, внедрившись в приложения, выглядящие легитимно, на обеих крупнейших мобильных платформах, включая инструменты отслеживания цен на криптовалюту, игровые приложения и модифицированные версии популярных социальных приложений, таких как TikTok.
Наиболее тревожным аспектом этой кампании является ее успешное обходное проникновение через строгий процесс проверки App Store Apple и системы безопасности Play Protect Google. Одно компрометированное приложение для обмена сообщениями, SOEX, достигло более 10,000 загрузок до обнаружения и удаления, демонстрируя способность вредоносного ПО работать незамеченным в официальных экосистемах приложений в течение продолжительных периодов.
Продвинутая методология сбора данных
SparkKitty представляет собой значительное техническое улучшение по сравнению с ее предшественником, SparkCat, который был впервые выявлен в январе 2025 года. В отличие от традиционного вредоносного ПО, которое избирательно нацеливается на конфиденциальные данные, SparkKitty без разбора крадет все изображения с инфицированных устройств, создавая обширные базы данных пользовательских фотографий, которые затем загружаются на удаленные серверы для анализа.
Вредоносное ПО функционирует через сложный многоступенчатый процесс. После установки через обманчивые профили конфигурации, SparkKitty запрашивает стандартные разрешения на доступ к фотогалерее - запрос, который кажется рутинным для большинства пользователей. Как только доступ получен, троян постоянно мониторит библиотеку фотографий устройства на предмет изменений, создавая локальные базы данных захваченных изображений до передачи их на серверы под управлением атакующих.
Исследователи из Kaspersky подчеркивают, что основной целью атакующих, по-видимому, является идентификация и извлечение seed-фраз криптовалютных кошельков из скриншотов, хранящихся на инфицированных устройствах. Эти фразы для восстановления из 12-24 слов предоставляют полный доступ к цифровым активам пользователей, делая их чрезвычайно ценными целями для киберпреступников.