Складний троян обходить безпекові системи Apple та Google, щоб збирати seed-фрази криптовалют з фото на мобільних пристроях, відзначаючи значну ескалацію в мобільних атаках на криптовалюту.
Дослідники кібербезпеки з компанії Kaspersky виявили нову складну кампанію мобільного шкідливого ПЗ під назвою "SparkKitty", яка успішно проникла в App Store і Google Play Store, скомпрометувавши понад 5,000 користувачів криптовалют у Китаї та Південно-Східній Азії.
Шкідливе ПЗ зосереджується на викраденні скріншотів seed-фраз гаманців, збережених у галереях мобільних телефонів, що представляє собою значну еволюцію в атаках на криптовалюту, яка експлуатує фундаментальні вразливості мобільної безпеки.
Шкідливе ПЗ активне щонайменше з початку 2024 року, як зазначено в останньому звіті безпеки Kaspersky, опублікованому цього тижня. На відміну від традиційних методів розповсюдження шкідливого ПЗ, SparkKitty досягла видатного успіху, вбудовуючись у легітимно виглядаючі додатки як в провідних мобільних платформах, включаючи інструменти відстеження цін на криптовалюту, азартні додатки та модифіковані версії популярних соціальних медіа-додатків, таких як TikTok.
Найбільш тривожним аспектом цієї кампанії є успішне обходження суворого процесу перевірки App Store від Apple і систем безпеки Play Protect від Google. Один скомпрометований додаток-месенджер SOEX досяг понад 10,000 завантажень перед виявленням та видаленням, що показує здатність шкідливого ПЗ залишатися непоміченим у офіційних екосистемах додатків протягом тривалих періодів.
Розширені Методології Добування Даних
SparkKitty представляє собою серйозне технічне вдосконалення порівняно з його попередником, SparkCat, який був вперше виявлений у січні 2025 року. На відміну від традиційного шкідливого ПЗ, яке вибірково націлене на чутливі дані, SparkKitty без розбору краде всі зображення з інфікованих пристроїв, створюючи комплексні бази даних фотографій користувача, які згодом завантажуються на віддалені сервери для аналізу.
Шкідливе ПЗ працює через складний багатоступеневий процес. Після установки через обманні профілі надання, SparkKitty запитує стандартні дозволи доступу до галереї фото – запит, який здається рутинним для більшості користувачів. Після отримання доступу, троян постійно відстежує зміни в бібліотеці фотографій пристрою, створюючи локальні бази даних захоплених зображень перед їх передачею на сервери, контрольовані зловмисниками.
Дослідники Kaspersky підкреслюють, що основною метою нападників є ідентифікація та вилучення seed-фраз криптовалютних гаманців зі скріншотів, що зберігаються на інфікованих пристроях. Ці 12-24 слівний фрази відновлення надають повний доступ до цифрових активів користувачів, роблячи їх вкрай цінними цілями для кіберзлочинців.
Виникнення SparkKitty відбувається на тлі ескалації кіберзлочинності, орієнтованої на криптовалюту. Згідно з аналізом TRM Labs за 2024 рік, майже 70% з $2.2 млрд викраденої криптовалюти мають результат інфраструктурних атак, зокрема тих, що пов'язані з крадіжкою приватних ключів і seed-фраз. Тільки у січні 2025 року, 9,220 жертв втратили $10.25 мільйонів у криптовалютних фішингових шахрайствах, що підкреслює постійну і таку, що розвивається, природу загроз націлених на криптовалюту.
Поточний географічний фокус шкідливого ПЗ на Китаї та Південно-Східній Азії відображає ширші тенденції в прийнятті криптовалют та націленості кіберзлочинців. Однак, експерти з безпеки попереджають, що технічні можливості та доведена ефективність SparkKitty роблять глобальну експансію вкрай ймовірною. Можливість шкідливого ПЗ проникати в офіційні магазини додатків свідчить про те, що жодна мобільна екосистема не є імунною до складних атак, націлених на криптовалюту.
Технічна Еволюція і Атрибуція
Судова експертиза виявляє значні зв’язки між кампаніями шкідливого ПЗ SparkKitty та більш ранньою SparkCat. Обидва трояни мають спільні налагоджувальні символи, шаблони побудови коду та кілька скомпрометованих векторних додатків, що свідчить про скоординований розвиток з боку тих самих загрозливих акторів. Однак, SparkKitty демонструє помітні технічні доопрацювання, включаючи покращені можливості збору даних та підвищені техніки обходження.
SparkCat особливо націлювався на фрази відновлення криптовалютних гаманців, використовуючи технології розпізнавання тексту для вилучення цих фраз із зображень, тоді як SparkKitty застосовує більш широкий підхід, збираючи всі доступні зображення для подальшої обробки.