Троян SparkKitty викрадає дані з криптогаманців, загрожуючи користувачам смартфонів у Китаї та Південно-Східній Азії

Нещодавно виявлений троян на ім`я `SparkKitty` інфікує смартфони та викрадає чутливі дані, що може дозволити нападникам виводити криптовалютні гаманці жертв. Про це повідомила компанія з кібербезпеки Kaspersky у звіті у вівторок.

Шкідливе програмне забезпечення вбудовано в додатки, пов`язані з криптоторгівлею, азартними іграми та навіть модифікованими версіями TikTok.

Після встановлення через обманні профілі налаштування, які використовуються для запуску додатків iOS або змінених додатків, SparkKitty запитує доступ до фотогалереї. Він моніторить зміни, створює локальну базу даних вкрадених зображень і завантажує фотографії на віддалений сервер.

`Ми підозрюємо, що основною метою нападників є пошук знімків екрану фраз для відновлення криптогаманців,` - сказав Kaspersky.

Наразі це шкідливе ПЗ переважно націлене на жертв у Китаї та Південно-Східній Азії. Однак компанія попередила, що нічого не заважає йому поширитися на інші регіони.

У своєму звіті за 2024 рік TRM Labs оцінює, що майже 70% з 2,2 мільярда доларів украденої криптовалюти минулого року стали результатом атак на інфраструктуру, зокрема які стосувалися викрадення приватних ключів і фраз для відновлення.

Шкідливе ПЗ, таке як SparkKitty, дозволяє здійснювати такі крадіжки, оскільки нападники можуть використовувати дані з інфікованих пристроїв для пошуку облікових даних гаманців. Фрази для відновлення є надзвичайно цінними, оскільки вони надають повний доступ до криптогаманця користувача.

Вважається, що SparkKitty пов`язаний з кампанією шпигунських програм SparkCat, вперше виявленою в січні 2025 року, яка аналогічним чином використовувала шкідливі SDK для отримання доступу до фотографій на пристроях користувачів.

Хоча SparkCat зосереджував своє шпигунство на зображеннях з фразами для відновлення за допомогою технології оптичного розпізнавання символів (OCR), SparkKitty без розбору завантажує фотографії, ймовірно, для подальшої обробки.

Його присутність підтверджена в обох магазинах додатків Android та iOS, включаючи прикриті під крипто-тематичні інструменти та моди TikTok.

SparkKitty приєднується до безлічі інших шкідливих програм, націлених на криптовалюту, які здобули популярність серед хакерів за останні кілька років.

Серед них інформаційний крадій Noodlophile був знайдений вбудованим в AI-інструменти, доступні для завантаження в Інтернеті, скориставшись поточним інтересом до технології.

Хакери створюють достовірно виглядаючі AI-сайти та рекламують їх через соціальні мережі, щоб привернути незважаючи на жертви.

Міжнародна зусилля правозахисників у травні націлилася на ключову інфраструктуру, пов`язану з розповсюдженням ще одного варіанту шкідливого ПЗ, LummaC2, яке було пов`язано з більш ніж 1,7 мільйона спроб викрадення.

LummaC2 намагалося викрасти інформацію, пов`язану з обліковими даними для входу, включаючи криптогаманці.

Редактор: Себастіан Сінклер