คาสเปอร์สกี้ แลบส์พบแคมเปญมัลแวร์ที่ซับซ้อนมุ่งเป้าไปที่ผู้ใช้คริปโตเคอร์เรนซีผ่านซอฟต์แวร์ ดีเวลอปเมนต์คิทที่ฝังในแอปมือถือซึ่งมีอยู่ใน Google Play และ Apple App Store มัลแวร์นี้ชื่อว่า "SparkCat" ใช้การรู้จำอักขระด้วยแสงเพื่อสแกนรูปภาพของผู้ใช้หาวลีการกู้คืนกระเป๋าเงินคริปโต ซึ่งแฮกเกอร์จะใช้ในการเข้าถึงและทำให้กระเป๋าเงินที่ได้รับผลกระทบหมดตัว

ในรายงานฉบับสมบูรณ์ลงวันที่ 4 กุมภาพันธ์ 2025 นักวิจัยคาสเปอร์สกี้ เซอร์เกย์ พูซาน และดมิทรี กาลินิน ให้รายละเอียด ว่ามัลแวร์ SparkCat เจาะเข้าสู่เครื่องอย่างไรและค้นหารูปภาพหาวลีการกู้คืนผ่านการตรวจจับคำหลัก หลายภาษา เมื่อได้วลีเหล่านี้มาแล้ว ผู้โจมตีจะเข้าถึงกระเป๋าเงินของเหยื่อได้อย่างอิสระ แฮกเกอร์จึงได้บังคับควบคุมเงินเต็มที่ตามที่นักวิจัยเน้นย้ำ

นอกจากนี้ มัลแวร์นี้ยังออกแบบมาเพื่อขโมยข้อมูลที่สำคัญเพิ่มเติม เช่น รหัสผ่านและข้อความส่วนตัวที่ถูกจับ ในสกรีนช็อต โดยเฉพาะบนอุปกรณ์ Android, SparkCat จะแฝงตัวเป็นโมดูลวิเคราะห์ตาม Java ชื่อ Spark มัลแวร์นี้ได้รับการอัปเดตการปฏิบัติงานจากไฟล์ config ที่เข้ารหัสบน GitLab และใช้

Google ML Kit OCR เพื่อสกัดข้อความจากรูปภาพบนอุปกรณ์ที่ติดเชื้อ การตรวจพบวลีการกู้คืนจะทำให้มัลแวร์ ส่งข้อมูลกลับไปยังผู้โจมตี ทำให้พวกเขาสามารถนำเข้ากระเป๋าเงินคริปโตของเหยื่อบนอุปกรณ์ของตน

คาสเปอร์สกี้ประมาณการว่า ตั้งแต่การเกิดขึ้นในเดือนมีนาคม 2023, SparkCat มีการดาวน์โหลดไปประมาณ 242,000 ครั้ง โดยมีผลกระทบต่อผู้ใช้ส่วนใหญ่ในยุโรปและเอเชีย

ในรายงานที่แยกและเกี่ยวข้องจากกลางปี 2024, คาสเปอร์สกี้ ได้เฝ้าติดตามแคมเปญมัลแวร์ Android อีกแคมเปญหนึ่งที่เกี่ยวข้องกับ APK หลอกลวงอย่างเช่น Tria Stealer ซึ่งสกัดกั้นข้อความ SMS และบันทึกการโทร, และขโมยข้อมูล Gmail

การปรากฏตัวของมัลแวร์นี้แพร่หลายไปในแอปพลิเคชั่นมากมาย บางแอปแสดงให้เห็นว่าเป็นแอปที่ ถูกกฎหมาย เช่น บริการส่งอาหาร และแอปอื่น ๆ ออกแบบมาเพื่อล่อลวงผู้ใช้ที่ไม่ระวัง เช่น แอป ข้อความที่ขับเคลื่อนด้วย AI คุณสมบัติทั่วไปในแอปที่ติดเชื้อเหล่านี้รวมถึงการใช้ภาษาการเขียนโปรแกรม Rust, ความสามารถข้ามแพลตฟอร์ม, และวิธีการปกปิดที่ซับซ้อนเพื่อหลีกเลี่ยงการตรวจจับ

แหล่งที่มาของ SparkCat ไม่ชัดเจน นักวิจัยไม่ได้ระบุว่ามัลแวร์นี้กับกลุ่มแฮ็กเกอร์ที่รู้จักใด ๆ แต่ได้สังเกตเห็นความคิดเห็นและข้อความแสดงข้อผิดพลาดในภาษาจีนภายในโค้ด ซึ่งบ่งบอกถึงความ ชำนาญในภาษาจีนโดยนักพัฒนา ขณะที่มันมีความคล้ายคลึงกับแคมเปญที่ถูกค้นพบโดย ESET ใน เดือนมีนาคม 2023, แหล่งที่มาที่แท้จริงยังคงไม่ถูกระบุ

คาสเปอร์สกี้แนะนำให้ผู้ใช้ไม่เก็บข้อมูลที่สำคัญอย่างเช่นวลีการกู้คืนกระเป๋าเงินคริปโตในแกลอรี่ ของภาพ แนะนำให้ใช้โปรแกรมจัดการรหัสผ่านและสแกนหาและกำจัดแอปพลิเคชันที่น่าสงสัยอย่างสม่ำเสมอ

รายงานถูกเผยแพร่ครั้งแรกใน 99Bitcoins ในบทความที่ชื่อว่า "Malicious SDKs on Google Play and App Store Steal Crypto Seed Phrases: Kaspersky."