Сохраняете данные своего кошелька и секретную фразу в виде фотографии на телефоне? Этот троян может представлять угрозу для вас

Новый вид мобильного шпионского ПО под названием SparkKitty проник в App Store от Apple и Google Play, выдавая себя за приложения с криптотемой и модифицированные приложения, чтобы тайно извлекать изображения seed-фраз и учетных данных кошельков.

Это вредоносное ПО, по всей видимости, является преемником SparkCat — кампании, обнаруженной в начале 2025 года, которая использовала поддельные модули службы поддержки для тихого доступа к галереям пользователей и кражи конфиденциальных скриншотов.

SparkKitty идет значительно дальше по той же стратегии, заявили исследователи Kaspersky в посте в понедельник.

В отличие от SparkCat, который распространялся в основном через неофициальные Android-пакеты, SparkKitty подтвержден в нескольких приложениях для iOS и Android, доступных через официальные магазины, включая мессенджер с функциями криптобиржи (с более чем 10 000 установок в Google Play) и iOS-приложение под названием «币coin», замаскированное под трекер портфолио.

В основе iOS-варианта лежит модифицированная версия фреймворка AFNetworking или Alamofire, в которую злоумышленники встроили кастомный класс, автоматически запускающийся при старте приложения с использованием селектора +load в Objective-C.

При запуске происходит проверка скрытого конфигурационного значения, загрузка адреса командного сервера (C2), сканирование галереи пользователя и начало загрузки изображений. Адрес C2 задает вредоносному ПО инструкции, например, когда красть данные или отправлять файлы, а также принимает похищенную информацию обратно.

Вариант для Android использует модифицированные библиотеки Java для достижения той же цели. OCR применяется через Google ML Kit для распознавания текста на изображениях. Если обнаружена seed-фраза или приватный ключ, файл помечается и отправляется на серверы злоумышленников.

Установка на iOS осуществляется через корпоративные provisioning-профили, способ, предназначенный для внутренних корпоративных приложений, но часто используемый для распространения вредоносного ПО.

Пользователей обманывают, заставляя вручную доверять сертификату разработчика, связанному с «SINOPEC SABIC Tianjin Petrochemical Co. Ltd.», предоставляя SparkKitty системные разрешения.

Некоторые адреса C2 используют зашифрованные AES-256 конфигурационные файлы, размещённые на обфусцированных серверах.

После расшифровки они указывают на загрузчики полезной нагрузки и конечные точки, такие как /api/putImages и /api/getImageStatus, где приложение решает, загружать фотографии или отложить передачу.

Исследователи Kaspersky обнаружили другие версии вредоносного ПО с поддельной библиотекой OpenSSL (libcrypto.dylib) с обфусцированной логикой инициализации, что указывает на эволюцию инструментов и множественные векторы распространения.

Хотя большинство приложений, по-видимому, ориентированы на пользователей в Китае и Юго-Восточной Азии, само вредоносное ПО не ограничено региональным масштабом.

Apple и Google удалили упомянутые приложения после раскрытия информации, но исследователи предупреждают, что кампания, вероятно, активна с начала 2024 года и может продолжаться через альтернативные версии и клонированные магазины.

Читайте также: Северокорейские хакеры нацелились на ведущие криптофирмы с вредоносным ПО, спрятанным в заявках на работу