Sine-save ang Mga Detalye ng Iyong Wallet, Parirala ng Binhi bilang Larawan sa Iyong Telepono? Maaaring Tina-target ka ng Trojan na ito

Isang bagong strain ng mobile spyware, na tinawag na SparkKitty, ang pumasok sa App Store at Google Play ng Apple, na nagpapanggap bilang crypto-themed at modded na apps upang palihim na kumuha ng mga larawan ng mga seed phrase at mga kredensyal ng wallet.

Lumilitaw na ang malware ay kahalili ng SparkCat, isang campaign na unang natuklasan noong unang bahagi ng 2025, na gumamit ng mga pekeng support chat modules upang tahimik na ma-access ang mga gallery ng user at i-exfiltrate ang mga sensitibong screenshot.

Ginagawa ng SparkKitty ang parehong diskarte nang ilang hakbang pa, mga mananaliksik ng Kaspersky sinabi sa isang Lunes na post.

Hindi tulad ng SparkCat, na kadalasang kumakalat sa pamamagitan ng hindi opisyal na mga Android package, ang SparkKitty ay nakumpirma na sa loob ng maraming iOS at Android app na available sa pamamagitan ng mga opisyal na tindahan, kabilang ang isang messaging app na may mga Crypto exchange feature (na may mahigit 10,000 na pag-install sa Google Play) at isang iOS app na tinatawag na “币coin,” na itinago bilang portfolio tracker.

Sa CORE ng variant ng iOS ay isang weaponized na bersyon ng AFNetworking o Alamofire framework, kung saan nag-embed ang mga attacker ng custom na klase na awtomatikong tumatakbo sa paglulunsad ng app gamit ang +load selector ng Objective-C.

Sa startup, sinusuri nito ang isang nakatagong halaga ng configuration, kumukuha ng command-and-control (C2) address, at ini-scan ang gallery ng user at nagsimulang mag-upload ng mga larawan. Ang isang C2 address ay nagtuturo sa malware kung ano ang gagawin, tulad ng kung kailan magnakaw ng data o magpadala ng mga file, at tinatanggap ang ninakaw na impormasyon pabalik.

Gumagamit ang variant ng Android ng mga binagong Java library para makamit ang parehong layunin. Inilapat ang OCR sa pamamagitan ng Google ML Kit upang i-parse ang mga larawan. Kung may matukoy na seed na parirala o pribadong key, ang file ay i-flag at ipapadala sa mga server ng umaatake.

Ang pag-install sa iOS ay ginagawa sa pamamagitan ng enterprise provisioning profile, o isang paraang para sa mga internal na enterprise app ngunit madalas na pinagsamantalahan para sa malware.

Ang mga biktima ay dinadaya sa manu-manong pagtitiwala sa isang certificate ng developer na naka-link sa "SINOPEC SABIC Tianjin Petrochemical Co. Ltd.," na nagbibigay ng mga pahintulot sa antas ng system ng SparkKitty.

Ilang C2 address ang gumamit ng AES-256 na naka-encrypt na mga configuration file na naka-host sa mga na-obfuscate na server.

Kapag na-decrypt, itinuturo nila ang mga payload fetcher at endpoint, gaya ng/api/putImages at /api/getImageStatus, kung saan tinutukoy ng app kung mag-a-upload o magtatagal ng mga pagpapadala ng larawan.

Natuklasan ng mga mananaliksik ng Kaspersky ang iba pang mga bersyon ng malware na gumagamit ng isang spoofed OpenSSL library (libcrypto.dylib) na may obfuscated initialization logic, na nagpapahiwatig ng isang umuusbong na toolset at maramihang distribution vectors.

Bagama't mukhang naka-target ang karamihan sa mga app sa mga user sa China at Southeast Asia, wala tungkol sa malware ang naglilimita sa saklaw ng rehiyon nito.

Inalis ng Apple at Google ang mga app na pinag-uusapan kasunod ng Disclosure, ngunit malamang na naging aktibo ang campaign mula noong unang bahagi ng 2024 at maaaring magpatuloy pa rin sa pamamagitan ng mga side-load na variant at clone store, babala ng mga mananaliksik.

Read More: Ang mga Hacker ng North Korea ay Tinatarget ang Mga Nangungunang Crypto Firm na May Malware na Nakatago sa Mga Aplikasyon sa Trabaho