SparkKitty Spyware w App Store i Play Store, kradnie zdjęcia w celu uzyskania danych kryptograficznych

Badacze ds. cyberbezpieczeństwa z firmy Kaspersky poinformowali o nowej operacji szpiegowskiej, nazwanej SparkKitty, która zainfekowała aplikacje dostępne zarówno w oficjalnym sklepie Apple App Store, jak i Google Play.

Ten program szpiegujący ma na celu kradzież wszystkich obrazów z urządzeń mobilnych użytkowników, prawdopodobnie skupiając się na znalezieniu informacji o kryptowalutach. Kampania jest aktywna od początku 2024 r., głównie atakując użytkowników w Azji Południowo-Wschodniej i Chinach.

Oprogramowanie szpiegujące SparkKitty infiltruje urządzenia za pośrednictwem aplikacji, które wyglądają na niegroźne, często zamaskowanych jako zmodyfikowane wersje popularnych aplikacji, takich jak TikTok . W przypadku złośliwych wersji TikTok, dołączyli nawet fałszywy sklep internetowy TikToki Mall do aplikacji, który akceptował kryptowalutę za dobra konsumpcyjne, często wymagając kodu zaproszeniowego w celu uzyskania dostępu.

Według raportu Kaspersky, w przypadku urządzeń z systemem iOS atakujący używają specjalnego profilu Enterprise provisioning z Apple's Developer Program. Pozwala im to instalować certyfikaty na iPhone'ach, które sprawiają, że złośliwe aplikacje wydają się godne zaufania, omijając zwykły proces przeglądu App Store w celu bezpośredniej dystrybucji.

Co więcej, atakujący osadzali swój złośliwy kod, modyfikując biblioteki sieciowe typu open source, takie jak AFNetworking.framework i Alamofire.framework , i maskowali je pod nazwą libswiftDarwin.dylib .

Po stronie Androida Kaspersky znalazł oprogramowanie szpiegujące SparkKitty ukryte w różnych aplikacjach kryptowalutowych i kasynowych. Jedna z takich aplikacji, narzędzie do przesyłania wiadomości z funkcjami kryptograficznymi, została pobrana ponad 10 000 razy z Google Play , zanim została usunięta.

Inna zainfekowana aplikacja na Androida, która rozprzestrzeniła się poza oficjalnymi sklepami, miała podobną wersję, która wślizgnęła się do App Store. Obie bezpośrednio zawierały złośliwy kod w samej aplikacji, a nie tylko jako oddzielny komponent.

Po zainstalowaniu głównym celem oprogramowania szpiegującego SparkKitty jest dostęp i kradzież wszystkich zdjęć z galerii urządzenia. Podczas gdy gromadzi ono obrazy, wydaje się być powiązane ze starszym oprogramowaniem szpiegującym o nazwie SparkCat, które używa optycznego rozpoznawania znaków ( OCR ), technologii odczytującej tekst z obrazów – w celu konkretnego znajdowania i kradzieży szczegółów, takich jak frazy odzyskiwania portfela kryptowalutowego ze zrzutów ekranu.

Niektóre wersje SparkKitty wykorzystują w tym celu również OCR, wykorzystując w tym celu bibliotekę Google ML Kit , szczególnie w aplikacjach rozpowszechnianych za pośrednictwem podejrzanych stron internetowych, przypominających oszustwa i schematy Ponziego .

Kaspersky uważa, że ​​oprogramowanie szpiegujące SparkKitty jest bezpośrednio powiązane z wcześniejszą kampanią SparkCat, odkrytą w styczniu 2025 r., dzieląc podobne metody dystrybucji za pośrednictwem oficjalnych i nieoficjalnych rynków aplikacji. Oba zagrożenia wydają się również koncentrować na kradzieży kryptowalut. Atakujący stojący za oprogramowaniem szpiegującym SparkKitty celowali konkretnie w użytkowników w Azji Południowo-Wschodniej i Chinach, często za pośrednictwem zmodyfikowanych gier hazardowych i gier dla dorosłych, a także fałszywych aplikacji TikTok .

Podczas gdy pobieranie aplikacji ze sklepów zewnętrznych jest zawsze ryzykowne, to odkrycie pokazuje, że nawet zaufane źródła, takie jak oficjalne sklepy z aplikacjami, nie mogą być już uważane za w pełni wiarygodne. Użytkownicy w dotkniętych regionach, a nawet na całym świecie, powinni zachować ostrożność w kwestii uprawnień aplikacji i rozważyć legalność każdej aplikacji proszącej o nietypowy dostęp, zwłaszcza do galerii zdjęć.