Шпионское ПО SparkKitty в App Store и Play Store крадет фотографии для получения криптографических данных

Исследователи кибербезопасности из «Лаборатории Касперского» сообщили о новой операции шпионского ПО под названием SparkKitty, которое заразило приложения, доступные как в официальном магазине приложений Apple App Store, так и в Google Play.

Эта шпионская программа нацелена на кражу всех изображений с мобильных устройств пользователей, предположительно, с целью поиска информации о криптовалюте. Кампания активна с начала 2024 года, в основном нацелена на пользователей в Юго-Восточной Азии и Китае.

Шпионское ПО SparkKitty проникает в устройства через приложения, которые выглядят безобидными, часто замаскированные под модифицированные версии популярных приложений, таких как TikTok . В случае вредоносных версий TikTok, они даже включили в приложение поддельный интернет-магазин TikToki Mall, который принимал криптовалюту за потребительские товары, часто требуя код приглашения для доступа.

Согласно отчету Касперского, для устройств iOS злоумышленники используют специальный профиль Enterprise provisioning из программы разработчиков Apple. Это позволяет им устанавливать на iPhone сертификаты, которые делают вредоносные приложения заслуживающими доверия, минуя обычный процесс проверки App Store для прямого распространения.

Кроме того, злоумышленники внедрили свой вредоносный код, изменив сетевые библиотеки с открытым исходным кодом, такие как AFNetworking.framework и Alamofire.framework , а также замаскировали его под libswiftDarwin.dylib .

На стороне Android Kaspersky обнаружил шпионское ПО SparkKitty, спрятанное в различных приложениях для криптовалют и казино. Одно из таких приложений, инструмент для обмена сообщениями с функциями криптовалюты, было загружено более 10 000 раз из Google Play , прежде чем было удалено.

Другое зараженное приложение Android, распространенное за пределами официальных магазинов, имело похожую версию, которая просочилась в App Store. Оба напрямую включали вредоносный код в само приложение, а не просто как отдельный компонент.

После установки главная цель шпионского ПО SparkKitty — получить доступ ко всем фотографиям из галереи устройства и украсть их. Хотя оно в целом собирает изображения, оно, по-видимому, связано со старым шпионским ПО SparkCat, которое использовало оптическое распознавание символов ( OCR ), технологию, которая считывает текст с изображений, — чтобы специально находить и красть такие данные, как фразы для восстановления криптовалютного кошелька со снимков экрана.

Некоторые версии SparkKitty также используют OCR для этой цели, используя библиотеку Google ML Kit для этой функции, особенно в приложениях, распространяемых через сомнительные веб-страницы, напоминающие мошеннические схемы и финансовые пирамиды .

Kaspersky считает, что шпионское ПО SparkKitty напрямую связано с более ранней кампанией SparkCat, обнаруженной в январе 2025 года, и использует схожие методы распространения как через официальные, так и неофициальные торговые площадки приложений. Обе угрозы, похоже, также нацелены на кражу криптовалюты. Злоумышленники, стоящие за шпионским ПО SparkKitty, специально нацелились на пользователей в Юго-Восточной Азии и Китае, часто через модифицированные азартные игры и игры для взрослых, а также поддельные приложения TikTok .

Хотя загрузка приложений из сторонних магазинов всегда рискованна, это открытие показывает, что даже надежные источники, такие как официальные магазины приложений, больше не могут считаться полностью надежными. Пользователи в затронутых регионах, да и во всем мире, должны быть осторожны с разрешениями приложений и учитывать законность любого приложения, запрашивающего необычный доступ, особенно к фотогалереям.