Компания «Лаборатория Касперского» тревожит ситуацию с вредоносным ПО, крадущим криптографические сид-фразы на мобильных устройствах

Исследователи безопасности компании «Лаборатория Касперского» обнаружили кампанию мобильного вредоносного ПО, нацеленную на пользователей криптовалют через зараженные приложения.

Сообщается, что шпионское ПО SparkKitty крадет скриншоты устройств, содержащие ключевые фразы, используя технологию оптического распознавания символов на платформах iOS и Android через официальные магазины приложений.

Вредоносная программа SparkKitty проникает в официальные магазины приложений, нацеленные на криптовалюты

Исследователи «Лаборатории Касперского» обнаружили шпионскую кампанию SparkKitty в январе 2025 года, после того как ранее выявилиdentПО SparkCat, нацеленное на криптовалютные кошельки. Новая угроза распространяет вредоносные приложения через неофициальные источники, а также через официальные платформы Google Play и App Store, при этом зараженные приложения уже удалены из Google Play после уведомлений исследователей.

SparkKitty атакует платформы iOS и Android, используя для каждой из них несколько механизмов доставки. На iOS вредоносные программы распространяются через фреймворки, маскирующиеся под легитимные библиотеки, такие как AFNetworking.framework или Alamofire.framework, или обфусцированные библиотеки, маскирующиеся под libswiftDarwin.dylib. Вредоносная программа также внедряется непосредственно в приложения.

В операционных системах Android используются языки программирования Java и Kotlin, причём версии Kotlin применяются в качестве вредоносных модулей Xposed. Большинство версий вредоносного ПО без разбора захватывают все изображения на устройствах, хотя исследователи обнаружили аналогичные вредоносные кластеры, использующие оптическое распознавание символов для атаки на конкретные изображения с конфиденциальной информацией.

Эта кампания ведется как минимум с февраля 2024 года, и в ней также используются те же тактики нацеливания и инфраструктура, что и в предыдущей операции SparkCat.

SparkKitty имеет более широкий охват, чем целенаправленная атака SparkCat на сид-фразы криптовалют, поскольку он собирает все доступные изображения с зараженных устройств. Это потенциально может привести к сбору других видов конфиденциальной финансовой и личной информации, хранящейся в галереях устройств.

Модификации TikTok, приобретенные в малоизвестных магазинах, служат основным вектором заражения

Аналитики «Лаборатории Касперского» впервые обнаружили эту кампанию, когда система tracподозрительных ссылок обнаружила, что распространяются модификации приложения TikTok для Android. Модифицированные приложения выполняли дополнительный вредоносный код при запуске основных действий приложения пользователями.

URL-адреса конфигурационных файлов отображались в виде кнопок внутри взломанных приложений, запуская сессии WebView для отображения TikToki Mall, интернет-портала для покупок, принимающего криптовалюту за товары народного потребления.

Регистрация и покупки были ограничены необходимостью ввода пригласительных кодов, поэтому исследователи не смогли определить легитимность магазина или его работоспособность. Векторы заражения iOS используют корпоративные профили программы Apple Developer Program для обхода обычных ограничений на установку приложений.

Злоумышленники захватывают корпоративные сертификаты для распространения приложений на уровне организации, что позволяет устанавливать вредоносные приложения на любое устройство без одобрения App Store. Злоупотребление корпоративными профилями — одна из распространенных тактик, используемых разработчиками неподходящих приложений, таких как онлайн-казино, взломанные программы и незаконные модификации.

Заражённые версии iOS-приложений TikTok запрашивают разрешения на доступ к фотогалерее при запуске, чего нет в подлинных версиях TikTok. Вредоносное ПО интегрировано в фреймворки, которые имитируют AFNetworking.framework, и модифицированы классы AFImageDownloader и другие компоненты AFImageDownloaderTool.

Вредоносные программы для Android крадут изображения через приложения, связанные с криптовалютами

Android-версии SparkKitty работают через приложения, связанные с криптовалютами, с вредоносным кодом , встроенным в точки входа. Вредоносная программа запрашивает конфигурационные файлы, содержащие адреса серверов управления и контроля, расшифровывая их с помощью шифрования AES-256 в режиме ECB, прежде чем установить связь с удаленными серверами.

Кража изображений происходит в два этапа, включающих идентификацию устройства по отпечатку и механизмы выборочной загрузки. Вредоносная программа создает хеши MD5, объединяя IMEI устройства, MAC-адреса и случайные UUID, и сохраняет этиdentв файлах на внешнем носителе.

Приложения казино используют интеграцию с фреймворком LSPosed, функционируя как вредоносные модули Xposed, которые перехватывают точки входа в приложение. Одно зараженное приложение для обмена сообщениями с функциями криптовалюты достигло более 10 000 установок в Google Play, прежде чем было удалено после уведомлений от Kaspersky.

Прогрессивные веб-приложения (PWA) распространяются через мошеннические платформы, рекламирующие финансовые пирамиды в популярных социальных сетях. Эти страницы, содержащие PWA, предлагают пользователям загрузить APK-файлы, которые регистрируют обработчики загрузки контента, обрабатывающие изображения JPEG и PNG с помощью технологии оптического распознавания символов Google ML Kit дляdentскриншотов, содержащих текст.