Новая угроза: малварь SparkKitty ворует данные криптокошельков через приложения в App Store и Google Play

Сохранение данных вашего кошелька и seed-фразы в виде фотографий на вашем телефоне? Этот троян может нацеливаться на вас.

Новая разновидность мобильного шпионского ПО, названная SparkKitty, проникла в App Store Apple и Google Play, выдавая себя за приложения, связанные с криптовалютами и модифицированные приложения, чтобы незаметно извлекать изображения seed-фраз и учетных данных кошельков.

Малварь, похоже, является преемником SparkCat, кампании, впервые обнаруженной в начале 2025 года, которая использовала фальшивые модули поддержки чата для бесшумного доступа к галереям пользователей и извлечения конфиденциальных скриншотов.

SparkKitty развивает ту же стратегию на несколько шагов вперед, сообщили исследователи Kaspersky в понедельник.

В отличие от SparkCat, который в основном распространялся через неофициальные Android-пакеты, SparkKitty был подтвержден внутри нескольких приложений iOS и Android, доступных через официальные магазины, включая приложение для обмена сообщениями с функциями криптобиржи (с более чем 10,000 установок в Google Play) и приложение iOS под названием `币coin`, замаскированное под трекер портфеля. (Securelist)

В центре iOS-версии находится бронированная версия фреймворка AFNetworking или Alamofire, где злоумышленники встроили собственный класс, который автоматически запускается при запуске приложения с использованием селектора +load на языке Objective-C.

При старте оно проверяет скрытое значение конфигурации, получает адрес командного управления (C2) и сканирует галерею пользователя, начиная загружать изображения. Адрес C2 инструктирует малварь о том, что делать, например, когда красть данные или отправлять файлы, и получает украденную информацию обратно.

Android-версия использует модифицированные Java-библиотеки для достижения той же цели. Оптическое распознавание символов (OCR) применяется с помощью Google ML Kit для разбора изображений. Если обнаруживается seed-фраза или приватный ключ, файл помечается и отправляется на серверы злоумышленника.

Установка на iOS осуществляется через профили корпоративного распределения, либо метод, предназначенный для внутренних корпоративных приложений, но часто используется для малвари. (Securelist)

Жертвы обманываются, заставляя вручную доверять сертификату разработчика, связанному с `SINOPEC SABIC Tianjin Petrochemical Co. Ltd.`, что дает SparkKitty системные разрешения.

Несколько адресов C2 использовали конфигурационные файлы, зашифрованные с помощью AES-256, размещенные на запутанных серверах.

После расшифровки они указывают на загрузчики полезных программ и конечные точки, такие как /api/putImages и /api/getImageStatus, где приложение определяет, загружать ли фотографии или откладывать их передачи.

Исследователи Kaspersky обнаружили другие версии малвари, использующие подделанную библиотеку OpenSSL (libcrypto.dylib) с запутанной логикой инициализации, что указывает на развивающийся набор инструментов и множество векторов распространения.

Хотя большинство приложений, похоже, нацелено на пользователей в Китае и Юго-Восточной Азии, ничего не ограничивает региональную область малвари.

Apple и Google удалили упомянутые приложения после раскрытия информации, но кампания, вероятно, была активна с начала 2024 года и может все еще продолжаться через боковые загруженные варианты и магазины-клоны, предупреждали исследователи.

Читать далее:Северокорейские хакеры нацеливаются на ведущие крипто-компании с помощью малвари, скрытой в заявках на работу.