Ny SparkKitty-malware rammer over 5.000 kryptobrugere via Apple- og Google-apps

En ny form for mobil spyware udnytter svagheder i både Apples og Googles app-gennemgangssystemer til at målrette kryptobrugere i hele Sydøstasien og Kina.

Malwaren, der er døbt SparkKitty, fokuserer på at stjæle skærmbilleder af tegnebogsfrøsætninger, der er gemt i mobiltelefongallerier.

Cybersikkerhedsforskere fra Kaspersky afslørede , at spywaren er blevet indlejret i tilsyneladende legitime applikationer, herunder kryptoporteføljetrackere og modificerede versioner af populære apps som TikTok.

Malware-kampagnen, som sporer sin afstamning til en tidligere variant kendt som SparkCat, har været aktiv siden mindst april 2024.

Nogle app-eksempler går endnu længere tilbage.

Når SparkKitty er installeret, bruger det vildledende tilladelser og optisk tegngenkendelsesteknologi (OCR) til at identificere og overføre billeder, der indeholder følsom tekst såsom frøsætninger – en angrebsvektor med alvorlige konsekvenser for alle, der gemmer deres gendannelsessætninger på deres enheder.

Inficerede krypto apps omgåede butikssikkerhed

Kasperskys analyse viser, at SparkKitty med succes infiltrerede den officielle Google Play Store og Apples App Store.

De berørte applikationer, herunder Soex Wallet Tracker og Coin Wallet Pro, forklædte sig som kryptoværktøjer, der tilbyder sporing i realtid, porteføljestyring og multi-chain wallet-tjenester.

I et tilfælde blev Soex Wallet Tracker downloadet over 5.000 gange, før den blev fjernet fra listen.

Coin Wallet Pro, som positionerede sig som en sikker digital tegnebog, vandt angiveligt indpas gennem annoncer på sociale medier og Telegram-kanaler.

Disse kanaler opfordrede brugerne til at downloade appen og installere yderligere udviklerprofiler – uden om de normale mekanismer til gennemgang af apps.

Dette ekstra trin gjorde det muligt for malwaren at operere uden for standard sandkassebeskyttelse, der typisk begrænser adgangen til fotogallerier og systemdata.

Ved at spørge brugere under specifikke aktiviteter såsom supportchats, kunne SparkKitty få adgang til fotolagring.

Når den var givet, brugte den OCR til at udtrække eventuelle frøsætninger, der er synlige på skærmbilleder.

Disse sætninger er afgørende for krypto wallet adgang og genopretning, og at miste kontrollen over dem kan føre til fuldstændigt tab af midler.

SparkKitty malware sigter mod visuelt datatyveri

I modsætning til traditionel malware, der søger direkte adgang til tegnebogsapps eller private nøgler, indikerer SparkKittys fokus på billedgallerier et skift i retning af at udnytte visuelle datalagringsvaner blandt brugerne.

Mange enkeltpersoner, især nyere kryptobrugere, gemmer skærmbilleder af deres tegnebogs frøsætninger for nemheds skyld.

Denne praksis, selvom den frarådes af de fleste tegnebogsudbydere, er stadig almindelig.

SparkKitty udnytter denne adfærd ved at scanne tusindvis af billeder i baggrunden og lede efter strenge af ord, der matcher almindelige seed phrase-formater.

Når de er identificeret, sendes disse tilbage til fjernservere, der kontrolleres af angriberne.

Malwarens visuelle genkendelsesmodel ser ud til at være optimeret til frøsætningslængder og formater, der bruges af populære tegnebøger som MetaMask, Trust Wallet og Phantom.

Kaspersky udtalte, at mens størstedelen af infektioner ser ud til at være koncentreret i Sydøstasien og Kina, gør metoden til app-distribution - via sociale medier og app-butikker - den meget skalerbar.

Lignende angreb kunne nemt omdirigeres til andre regioner eller brugerbaser med minimale ændringer af kodebasen.

Apple og Google fjerner apps, anmeldelsessystem under lup

Efter Kasperskys advarsel fjernede Apple og Google de markerede apps fra deres platforme.

Der er dog stadig spørgsmål om, hvordan disse apps formåede at bestå de første anmeldelser.

Brugen af udviklerprofiler til at omgå app-sandboxing tyder på en sårbarhed i mobile OS-tilladelsesstrukturer, især i tilfælde, hvor brugerne er overbeviste om at give bred adgang.

Kaspersky advarede om, at kampagnen stadig kan være aktiv på mindre regulerede app-markedspladser eller via direkte APK-downloads.

Sikkerhedsteams har overvåget for lignende adfærdsmønstre på tværs af nyere apps, især dem, der er forbundet med kryptofunktioner eller decentraliserede finansværktøjer (DeFi).

Som en sikkerhedsforanstaltning opfordres brugerne til ikke at gemme frøsætninger i deres fotogallerier og til at undgå at installere ukendte profiler eller give galleriadgang til ikke-pålidelige apps.

Flere krypto-influencers og sikkerhedskonti på Twitter og Telegram har også cirkuleret advarsler om hændelsen.

Kasperskys team fortsætter med at spore SparkKittys netværksinfrastruktur og har delt indikatorer for kompromittering med relevante cybermyndigheder.