Современный мир криптовалют сталкивается с постоянными вызовами в области безопасности мобильных устройств. Недавнее исследование компании Kaspersky выявило новую и крайне опасную вредоносную программу под названием SparkKitty, нацеленную на пользователей iOS и Android. Основная цель этой вредоносной кампании — похищение скриншотов seed-фраз криптокошельков, хранящихся в галереях фотографий на смартфонах. SparkKitty является эволюцией ранее выявленной кампании SparkCat и выделяется использованием высокоточных технологий оптического распознавания символов (OCR). Данная технология позволяет автоматически сканировать изображения в фотогалерее устройства и обнаруживать на них конфиденциальную информацию, такую как seed-фразы, приватные ключи и адреса криптовалютных кошельков.
Таким образом, злоумышленники существенно упрощают процесс кражи критически важных данных без необходимости вручную просматривать украденные фотографии. С момента выявления активности SparkKitty в феврале 2024 года основное распространение вредоносных приложений наблюдается в странах Юго-Восточной Азии и Китае. Заражённые программы маскируются под популярные утилиты и развлекательные сервисы — модифицированные версии TikTok, трекеры портфелей криптовалют, азартные игры и приложения с контентом для взрослых. Все они запрашивают доступ к фотогалерее пользователя под предлогом легитимных функций. Ключевой особенностью SparkKitty стало умелое обходение мер безопасности официальных магазинов приложений App Store и Google Play.
Несмотря на то, что данные платформы обладают сложными механизмами проверки приложений, злоумышленники нашли способы внедрять вредоносный код, замаскированный под легитимные компоненты популярных библиотек и фреймворков. Например, на iOS вредоносное ПО скрывается в изменённых версиях open-source библиотек AFNetworking и Alamofire, используя корпоративные профили Apple Enterprise Distribution, что позволяет обходить стандартные правила проверки и публикации приложений. Внедрение скрытого класса AFImageDownloaderTool в данные библиотеки даёт возможность осуществлять тайное сканирование и выгрузку фотографий сразу при запуске зараженного приложения. Такой метод позволяет избежать подозрений со стороны пользователей, поскольку кража данных происходит незаметно и лишь при определённых условиях использования приложения, например, при переходе в раздел поддержки или общения с ботом. На стороне Android вредоносные программы пользуются не менее сложными схемами подмены и маскировки, интегрируя свои функции прямо в точках входа приложений с тематиками, близкими для целевой аудитории криптоэнтузиастов.
Темы криптовалют и финансов служат убедительной приманкой для пользователей, которые не всегда внимательно проверяют происхождение приложений. Особое внимание заслуживает внедрение технологии OCR из пакета Google ML Kit, которая автоматизирует процесс распознавания текстовой информации на фотографиях телефонной галереи. Вредоносное ПО отбирает изображения, содержащие криптографические данные, по определённым текстовым паттернам и минимальному количеству слов. Это позволяет оптимизировать процесс передачи данных, уменьшить нагрузку на каналы связи и повысить окупаемость преступлений. Данный новаторский подход отличается от ранее выявленных методов кражи данных, которые обычно заключались в массовом краже и последующем ручном анализе множества фотографий.
Таким образом, SparkKitty действует гораздо эффективнее и масштабнее, способствуя быстрому компрометированию значительного числа жертв. В ходе расследования Kaspersky также обнаружила дополнения к этой кампании в виде социальных инженерных приёмов. Заражённые приложения демонстрируют ложные предупреждения о необходимости срочного резервного копирования seed-фраз с имитацией системных уведомлений и ультимативных сроков. Пользователи, желая сохранить доступ к своим ценностям, вводят данные в интерфейсы, которые контролируются злоумышленниками. Более того, такая схема позволяет вредоносной программе использовать возможности Accessibility Logger, фиксируя вводимые пользователем данные в реальном времени.
Помимо прямого воровства криптовалютных данных, некоторые связанные кампании демонстрируют использование крадены устройств для скрытого майнинга цифровых активов. Так, хакерская группа Librarian Ghouls, упомянутая в отчёте Kaspersky, комбинирует фишинг для кражи аккаунтов с несанкционированным майнингом Monero, превращая заражённые устройства в генераторы незаконного дохода. Это несёт дополнительный риск для корпораций и частных лиц, поскольку снижает производительность устройств и увеличивает затраты электричества. В условиях роста популярности криптовалют безопасность личных данных и устройств становится приоритетом для пользователей по всему миру. Рекомендации экспертов включают отказ от хранения seed-фраз в виде скриншотов, использование аппаратных кошельков и применение специализированных приложений с усиленной защитой и шифрованием данных.
Важно внимательно относиться к правам, которые запрашивают устанавливаемые приложения, особенно если речь идёт об доступе к фотогалерее и другим конфиденциальным данным. Использование антивирусных решений премиум-класса, таких как Kaspersky Premium, помогает обнаруживать подозрительные активности и предотвращать попадание вредоносных программ на устройства. Нередко злоумышленники прибегают к созданию поддельных приложений, которые активно рекламируются в социальных сетях и мессенджерах Telegram, что требует от пользователей внимательного отношения к источникам загрузки ПО и проверке отзывов. Современная разработка вредоносного ПО становится всё более изощрённой, сочетающей технологии машинного обучения, обхода систем безопасности и психологического воздействия на пользователей. SparkKitty — яркий пример такой угрозы, нацеленной на наиболее уязвимый аспект криптовалютных операций — хранение и безопасность seed-фраз.
Для криптовалютного сообщества это сигнал к необходимости усиления информационной безопасности и обучению пользователей методам защиты. Доверие и безопасность в цифровой экономике зависят от внимательности каждого владельца активов, а своевременное обновление знаний и использование специализированных средств защиты помогают максимально снизить риски втягивания в мошеннические схемы. Заключение очевидно: борьба с новыми типами криптовредоносных программ требует объединения усилий разработчиков антивирусного ПО, платформ распространения приложений и самих пользователей. Только так можно создать безопасную экосистему для хранения цифровых активов и комфортной работы с криптовалютами в будущем.
