Новое шпионское ПО «SparkKitty» атакует криптовалютные кошельки через App Store и Google Play

Исследователи в области безопасности обнаружили новое шпионское ПО под названием SparkKitty, которое крадет фотографии со смартфонов для доступа к криптовалютным кошелькам

Шпионское ПО, о котором впервые сообщила Kaspersky, по-видимому, связано с предыдущим штаммом вредоносного ПО, известным как SparkCat. Оно заразило несколько приложений как в App Store, так и на Google Play, хотя некоторые из них уже удалены.

Исследователи объясняют, что SparkKitty распространяет поддельные приложения, которые имитируют известные платформы, включая TikTok. После установки злонамеренные приложения запрашивают доступ к галерее фотографий пользователя.

Некоторые версии крадут все изображения, в то время как другие используют оптическое распознавание символов (OCR) для сканирования секретных фраз кошелька для криптовалют, которые являются уникальными кодами, предоставляющими доступ к цифровым валютам.

На iPhone вредоносное ПО скрывается в поддельных программных оболочках, имитирующих легитимные, такие как AFNetworking или Alamofire. На устройствах Android шпионское ПО встраивается в виде вредоносных модулей в приложения, в особенности связанные с обменом сообщениями или криптовалютой.

Kaspersky объясняет, что кампания начала свою работу в феврале 2024 года и распространяется через неавторизованные магазины приложений, а также официальные каналы дистрибуции. Первое обнаружение вредоносного ПО произошло через поддельные приложения TikTok, которые перенаправляли пользователей на поддельный интернет-магазин под названием «TikToki Mall», принимающий платежи в криптовалюте.

Пользователи, которые входили на сайт с их iPhone, увидели поддельные страницы App Store, которые обманули их и заставили установить зараженные приложения. Хакеры также злоупотребили Программой для разработчиков корпорации Apple, чтобы распространять свои вирусы, обходя обычную безопасность App Store.

После заражения приложение проверяет коды активации, связывается с удаленным сервером за инструкциями и загружает украденные фотографии на серверы, контролируемые хакерами.

Исследователи сообщают, что поддельное приложение для обмена сообщениями с поддержкой криптовалюты было скачано более 10 000 раз, прежде чем специалисты в области безопасности обнаружили его вредоносную сущность.

Большинство жертв находятся в Юго-Восточной Азии и Китае, многие зараженные приложения содержат азартные игры или контент для взрослых. Однако шпионское ПО может атаковать пользователей по всему миру. SparkKitty имеет технические характеристики, схожие с SparkCat, что предполагает прямую связь между двуми кампаниями.

Чтобы оставаться в безопасности, пользователям следует избегать сторонних магазинов приложений, тщательно проверять разрешения приложений и обновлять свои устройства. Даже фотографии, не связанные с криптовалютой, могут подвергнуться риску от этой непрекращающейся угрозы шпионского ПО.