Лабораторія Kaspersky виявила складну зловмисну кампанію, що націлена на користувачів криптовалют через зловмисні комплекти розробки програмного забезпечення, вбудовані в мобільні додатки, доступні на Google Play та Apple App Store. Названа "SparkCat", ця шкідлива програма використовує оптичне розпізнавання символів для сканування фотографій користувачів на наявність фраз для відновлення криптогаманців, які зловмисники потім використовують для доступу та виснаження уражених гаманців.
У комплексному звіті від 4 лютого 2025 року дослідники Kaspersky Sergey Puzan і Dmitry Kalinin подробно описали як шкідливе ПЗ SparkCat проникає на пристрої та шукає зображення із фразами для відновлення через багатомовне виявлення ключових слів. Після отримання цих фраз зловмисники отримують необмежений доступ до криптогаманців жертв. Дослідники зазначають, що зловмисники таким чином отримують повний контроль над коштами.
Більше того, шкідлива програма призначена для крадіжки додаткової конфіденційної інформації, такої як паролі та приватні повідомлення, які зберігаються у вигляді знімків екрана. Для Android-пристроїв SparkCat маскується під модуль аналітики на базі Java під назвою Spark. Шкідливе ПЗ отримує операційні оновлення з зашифрованого файлу конфігурації на GitLab і використовує Google's ML Kit для вилучення тексту із зображень на заражених пристроях. Виявлення фрази для відновлення призводить до того, що шкідлива програма надсилає інформацію зловмисникам, дозволяючи імпортувати криптогаманець жертви на свої пристрої.
Kaspersky оцінює, що з моменту свого виникнення в березні 2023 року SparkCat було завантажено близько 242 000 разів, переважно вражаючи користувачів у Європі та Азії.
У окремому, але пов'язаному звіті з середини 2024 року Kaspersky відстежує іншу кампанію зловмисного ПЗ Android із обманними APK, такими як Tria Stealer, які перехоплюють SMS-повідомлення та журнали викликів, і крадуть дані Gmail.
Присутність цього шкідливого ПЗ охоплює численні додатки, деякі на перший погляд легітимні, як сервіси доставки їжі, а інші розроблені для залучення неуважних користувачів, такі як додатки для обміну повідомленнями з підтримкою штучного інтелекту. Загальні функції серед цих заражених додатків включають використання мови програмування Rust, крос-платформенний потенціал та складні методи обфускації для уникнення виявлення.
Походження SparkCat залишається незрозумілим. Дослідники не віднесли шкідливе ПЗ до будь-якої відомої хакерської групи, проте вони відзначили китайськомовні коментарі та повідомлення про помилки в коді, що свідчить про те, що розробник володіє китайською мовою. Незважаючи на схожість з кампанією, викритою ESET у березні 2023 року, її точне джерело залишається невстановленим.
Kaspersky рішуче радить користувачам не зберігати чутливу інформацію, таку як фрази для відновлення криптовалюти, у їхніх фотогалереях. Натомість вони рекомендують використовувати менеджери паролів і регулярно сканувати та видаляти підозрілі додатки.
Знайдениям вперше було повідомлено на 99Bitcoins у статті під назвою "Malicious SDKs on Google Play and App Store Steal Crypto Seed Phrases: Kaspersky."