Современный мир невозможно представить без мобильных приложений, которыми ежедневно пользуются миллионы пользователей. Однако даже крупнейшие и официальные магазины приложений, такие как Google Play и Apple App Store, не всегда могут гарантировать полную безопасность. В 2024 году эксперты по кибербезопасности выявили новую угрозу — вредоносную программу SparkKitty, которая распространялась через приложения в официальных магазинах и была нацелена на кражу фотографий и криптовалюты пользователей.Это вредоносное ПО представляет собой развитие более ранней версии под названием SparkCat, обнаруженной специалистами Kaspersky в начале 2024 года. SparkCat использовал технологию оптического распознавания текста (OCR) для атаки на пользователей криптокошельков.
Вредоносное ПО сканировало изображения с сохраненными фразами восстановления кошельков — так называемыми seed-фразами, которые являются ключевой информацией для восстановления доступа к криптовалютным активам. Такой подход позволял злоумышленникам получить полный контроль над криптовалютными счетами жертв и украсть их средства.Одной из распространенных ошибок пользователей является хранение seed-фраз в виде фотографий или скриншотов на мобильных устройствах. Хотя официальные рекомендации советуют записывать эти данные и хранить только в офлайн-режиме, многие пользователи выбрали удобство цифрового хранения. Это стало прямой уязвимостью, на которую нацелился SparkKitty.
Однажды установленное вредоносное приложение начинает активную работу по сбору изображений из галереи устройства. По данным Kaspersky, SparkKitty ни в чем не разбирается и копирует абсолютно все изображения, что значительно расширяет возможности злоумышленников в краже личных и конфиденциальных данных — от фотографий документов и личной переписки до приватных фото и фото семейных архивов.Несмотря на то, что основная цель атаки — добыча seed-фраз криптовалютных кошельков, украденные изображения могут быть использованы в других противоправных целях, таких как вымогательство и шантаж. Рост числа подобных угроз показывает, что хранение критически важных данных на смартфоне — та еще лотерея, особенно с учетом существования сложных и замаскированных вредоносных программ.Вредоносное ПО SparkKitty существовало и распространялось как в Google Play, так и в Apple App Store, а также через менее контролируемые альтернативные источники приложений.
Примером зараженных приложений стали SOEX — мессенджер с функциями обмена криптовалютами, который был скачан более 10 000 раз в Google Play, и 币coin на iOS, которые на момент публикации уже были удалены с соответствующих площадок.Kaspersky также выявила зараженные клоны популярных приложений, таких как TikTok, а также фальшивые онлайн-магазины криптовалют, азартные и взрослые игры с вшитым SparkKitty, распространявшиеся преимущественно через официальные и неофициальные каналы iOS и Android. Интересно, что вредоносная часть на iOS предлагается в виде подставных системных фреймворков и нередко распространяется через корпоративные профили конфигурации, которые позволяют обойти стандартные ограничения системы безопасности смартфонов Apple.В техническом плане SparkKitty использует продвинутые методы маскировки и автоматического запуска. На iOS вредоносный код включается через метод Objective-C '+load', что позволяет запускать вредоносные действия сразу при старте приложения.
На Android вредоносное ПО активируется либо при запуске приложений, либо при выполнении пользователей определенных действий с интерфейсом, например при переходе на заданные экраны внутри приложения.В целях получения доступа к фото SparkKitty запрашивает необходимые разрешения у пользователей — доступ к фотогалерее на iOS и к хранилищу на Android. При получении разрешений вредоносное ПО непрерывно мониторит изменения в галерее устройства и незаметно отправляет украденные изображения на удаленные серверы злоумышленников вместе с метаданными и уникальными идентификаторами устройства. Для повышения эффективности SparkKitty на Android использует шифрование конфигурационных данных алгоритмом AES-256, что усложняет анализ и выявление вредоносных настроек в сетевом трафике.Во многих версиях SparkKitty применяется Google ML Kit OCR — инструмент распознавания текста, который позволяет выделять изображения только с текстом, что снижает объем отправляемых данных и направляет атаку в сторону важной информации, именно на seed-фразы криптокошельков.
Это очередной тревожный пример того, что даже официальные магазины приложений не застрахованы от попадания в них вредоносных программ, и пользователям следует с особой осторожностью относиться к любым приложениям и особенно к разрешениям, которые они требуют.Крайне важно перед установкой любого приложения проверять репутацию разработчика, читать отзывы, обращать внимание на непрозрачные моменты, такие как большое число положительных отзывов при низком количестве загрузок, либо подозрительную историю и некорректные права доступа.В случае с мобильными кошельками и приложениями, связанными с криптовалютой, следует изначально относиться с максимальной осторожностью и избегать хранения чувствительной информации, особенно seed-фраз в цифровом виде. Для хранения такой информации рекомендуется использовать исключительно офлайн-методы: бумажные носители, металлические пластины, специальные устройства для холодного хранения.К тому же, пользователям iOS настоятельно не рекомендуется устанавливать профили конфигураций или сертификаты, полученные не из доверенных источников, так как это серьезно ослабляет защиту системы.
На Android рекомендуется включить сервис Google Play Protect, который автоматически сканирует установленное ПО на устройствах и предотвращает запуск известного вредоносного ПО. Также важно регулярно проводить полноценные антивирусные сканирования устройства.Контакт с разработчиками Google и Apple по этому поводу показал, что обнаруженные вирусные приложения были удалены из магазинов, а подозрительные разработчики заблокированы. Несмотря на это, SparkKitty демонстрирует необходимость более тщательного контроля и улучшения механизмов защиты в экосистемах мобильных платформ.Данный кейс является напоминанием о том, что киберугрозы развиваются и совершенствуются, используя новые технологии и обходя традиционные меры безопасности.
Образованные и внимательные пользователи, а также грамотные команды безопасности, играют ключевую роль в противостоянии этим угрозам для сохранения не только финансовых активов, но и приватности в цифровом пространстве.Развивающиеся технологии и массовое распространение мобильных устройств делают защиту личных данных приоритетом номер один. Понимание возможных угроз и знание методов их предупреждения — залог безопасности в современном мире цифровых технологий.
