Зловмисне ПЗ SparkKitty краде дані крипто-гаманців через підроблені додатки в App Store та Google Play

Збереження деталей вашого гаманця, фрази-відновлення у вигляді фото на вашому телефоні? Цей троян може бути націлений на вас.

Нова форма мобільного шпигунського програмного забезпечення, названа SparkKitty, проникла в App Store Apple та Google Play, маскуючись під крипто-тематичні та модифіковані додатки, щоб непомітно витягувати зображення фраз-відновлення та боргових реквізитів.

Зловмисне програмне забезпечення, за його характеристиками, є вдосконаленою версією SparkCat, кампанії, вперше виявленої на початку 2025 року, яка використовувала підроблені модулі підтримки для тихого доступу до галерей користувачів і ексфільтрації чутливих скріншотів.

SparkKitty використовує ту ж стратегію, але на кілька кроків далі, заявили дослідники Kaspersky у понеділковому повідомленні.

На відміну від SparkCat, яке переважно поширювалося через неофіційні пакети Android, SparkKitty було підтверджено у кількох додатках iOS та Android, що доступні через офіційні магазини, зокрема у додатку для обміну повідомленнями з функціями криптовалютної біржі (з понад 10 000 установок на Google Play) та додатку для iOS під назвою “币coin”, який маскується під трекер портфоліо.

В основі iOS-варианту лежить зброяний варіант фреймворку AFNetworking або Alamofire, в якому злочинці вбудували спеціальний клас, що автоматично запускається при старті додатку, використовуючи селектор +load Objective-C.

При запуску він перевіряє приховане значення конфігурації, отримує адресу командного центру (C2) і сканує галерею користувача, починаючи завантаження зображень. Адреса C2 інструктує зловмисне ПЗ щодо дій, наприклад, коли красти дані або надсилати файли, і отримує вкрадену інформацію назад.

Варіант для Android використовує модифіковані бібліотеки Java, щоб досягти тієї ж мети. OCR застосовується через Google ML Kit для розпізнавання зображень. Якщо виявляється фраза-відновлення або приватний ключ, файл помічається та надсилається на сервери зловмисника.

Встановлення на iOS відбувається через профілі корпоративного надання, або метод, призначений для внутрішніх корпоративних додатків, але часто експлуатується для шкідливого ПЗ.

Жертви обманом змушені вручну довіряти сертифікату розробника, пов`язаному з “SINOPEC SABIC Tianjin Petrochemical Co. Ltd.”, що надає SparkKitty системні дозволи.

Кілька адрес C2 використовували зашифровані файли конфігурації AES-256, розміщені на заплутаних серверах.

Після розшифрування вони вказують на завантажувачі payload і точки доступу, такі як /api/putImages та /api/getImageStatus, де додаток вирішує, чи завантажити чи затримати передачу фото.

Дослідники Kaspersky виявили інші версії зловмисного ПЗ, які використовують підроблену бібліотеку OpenSSL (libcrypto.dylib) з заплутаною логікою ініціалізації, що вказує на еволюцію інструментів та численні вектори поширення.

Хоча більшість додатків, здається, націлені на користувачів в Китаї та Південно-Східній Азії, нічого в характеристиках зловмисного ПЗ не обмежує його регіональний масштаби.

Apple і Google видалили спірні додатки після розкриття, але кампанія, ймовірно, активна з початку 2024 року і може все ще тривати через варіанти зі сторонами та клони, попереджають дослідники.

Дізнайтеся більше: Північнокорейські хакери націлюються на провідні криптофірми з програмним забезпеченням, прихованим в робочих заявках.