Uusi SparkKitty-haittaohjelma iskee yli 5 000 kryptokäyttäjään Applen ja Googlen sovellusten kautta

Uudenlainen mobiilivakoiluohjelma hyödyntää sekä Applen että Googlen sovellusten tarkistusjärjestelmien heikkouksia kohdistaakseen kryptokäyttäjiä Kaakkois-Aasiassa ja Kiinassa.

SparkKitty-niminen haittaohjelma keskittyy varastamaan kuvakaappauksia matkapuhelingallerioihin tallennetuista lompakon siemenlauseista.

Kasperskyn kyberturvallisuustutkijat paljastivat , että vakoiluohjelma on upotettu näennäisesti laillisiin sovelluksiin, mukaan lukien kryptosalkun seurantalaitteet ja muokatut versiot suosituista sovelluksista, kuten TikTokista.

Haittaohjelmakampanja, joka jäljittää sukujuurensa aiempaan versioon, joka tunnetaan nimellä SparkCat, on ollut aktiivinen ainakin huhtikuusta 2024 lähtien.

Jotkut sovellusnäytteet ovat jopa kauempaa.

Asennuksen jälkeen SparkKitty käyttää petollisia käyttöoikeuksia ja optista merkintunnistustekniikkaa (OCR) tunnistaakseen ja lähettääkseen arkaluonteista tekstiä, kuten siemenlauseita, sisältäviä kuvia – hyökkäysvektori, jolla on vakavia seurauksia kaikille, jotka tallentavat palautuslauseensa laitteilleen.

Tartunnan saaneet kryptovaluuttasovellukset ohittaneet kaupan suojauksen

Kasperskyn analyysi osoittaa, että SparkKitty tunkeutui onnistuneesti viralliseen Google Play Storeen ja Applen App Storeen.

Asianomaiset sovellukset, mukaan lukien Soex Wallet Tracker ja Coin Wallet Pro, naamioituivat kryptotyökaluiksi, jotka tarjoavat reaaliaikaista seurantaa, salkunhoitoa ja moniketjuisia lompakkopalveluita.

Yhdessä tapauksessa Soex Wallet Tracker ladattiin yli 5 000 kertaa ennen kuin se poistettiin luettelosta.

Coin Wallet Pro, joka asettui turvalliseksi digitaaliseksi lompakoksi, sai tiettävästi vetovoimaa sosiaalisen median mainosten ja Telegram-kanavien kautta.

Nämä kanavat kannustivat käyttäjiä lataamaan sovelluksen ja asentamaan lisää kehittäjäprofiileja ohittaen normaalit sovellusten tarkistusmekanismit.

Tämän ylimääräisen vaiheen ansiosta haittaohjelma pystyi toimimaan tavallisten hiekkalaatikkosuojausten ulkopuolella, jotka yleensä rajoittavat pääsyä kuvagallerioihin ja järjestelmätietoihin.

Kysymällä käyttäjiltä tiettyjen toimintojen, kuten tukikeskustelujen, aikana SparkKitty voi päästä käsiksi valokuvien tallennustilaan.

Kun se oli myönnetty, se käytti OCR:ää poimiakseen kaikki kuvakaappauksissa näkyvät siemenlauseet.

Nämä lauseet ovat ratkaisevan tärkeitä kryptolompakko saatavuuden ja palautumisen kannalta, ja niiden hallinnan menettäminen voi johtaa varojen täydelliseen menetykseen.

SparkKitty-haittaohjelma tähtää visuaaliseen tietovarkauteen

Toisin kuin perinteiset haittaohjelmat, jotka etsivät suoraa pääsyä lompakkosovelluksiin tai yksityisiin avaimiin, SparkKittyn keskittyminen kuvagallerioihin osoittaa siirtymistä kohti visuaalisten tietojen tallennustottumusten hyödyntämistä käyttäjien keskuudessa.

Monet henkilöt, erityisesti uudemmat kryptokäyttäjät, tallentavat kuvakaappauksia lompakon siemenlauseista mukavuuden vuoksi.

Vaikka useimmat lompakon tarjoajat eivät suosittele tätä käytäntöä, se on edelleen yleinen.

SparkKitty hyödyntää tätä käyttäytymistä skannaamalla tuhansia kuvia taustalla ja etsimällä sanajonoja, jotka vastaavat yleisiä siemenlausemuotoja.

Kun ne on tunnistettu, ne lähetetään takaisin hyökkääjien hallitsemille etäpalvelimille.

Haittaohjelman visuaalinen tunnistusmalli näyttää optimoidulta suosittujen lompakoiden, kuten MetaMaskin, Trust Walletin ja Phantomin, käyttämille siemenlauseiden pituuksille ja muodoille.

Kaspersky totesi, että vaikka suurin osa tartunnoista näyttää keskittyneen Kaakkois-Aasiaan ja Kiinaan, sovellusten jakelumenetelmä – sosiaalisen median ja sovelluskauppojen kautta – tekee siitä erittäin skaalautuvan.

Samanlaiset hyökkäykset voitaisiin helposti ohjata muille alueille tai käyttäjäkuntiin minimaalisilla muutoksilla koodikantaan.

Apple ja Google poistavat sovelluksia, arvostelujärjestelmä tarkastelun alla

Kasperskyn hälytyksen jälkeen Apple ja Google poistivat merkityt sovellukset alustoiltaan.

Kysymyksiä on kuitenkin edelleen siitä, kuinka nämä sovellukset onnistuivat läpäisemään alustavat arvioinnit.

Kehittäjäprofiilien käyttö sovellusten hiekkalaatikon ohittamiseen viittaa haavoittuvuuteen mobiilikäyttöjärjestelmän käyttöoikeusrakenteissa, erityisesti tapauksissa, joissa käyttäjät ovat vakuuttuneita myöntämään laajan käyttöoikeuden.

Kaspersky varoitti, että kampanja saattaa edelleen olla aktiivinen vähemmän säännellyillä sovellusmarkkinoilla tai suorien APK-latausten kautta.

Tietoturvatiimit ovat seuranneet samanlaisia käyttäytymismalleja uudemmissa sovelluksissa, erityisesti niissä, jotka liittyvät vain krypto-ominaisuuksiin tai hajautetun rahoituksen (DeFi) työkaluihin.

Varotoimenpiteenä käyttäjiä kehotetaan olemaan tallentamatta siemenlauseita valokuvagallerioihinsa ja välttämään tuntemattomien profiilien asentamista tai gallerian pääsyn antamista ei-luotettuihin sovelluksiin.

Useat kryptovaikuttajat ja tietoturvatilit Twitterissä ja Telegramissa ovat myös levittäneet varoituksia tapauksesta.

Kasperskyn tiimi seuraa edelleen SparkKittyn verkkoinfrastruktuuria ja on jakanut vaarantumisen indikaattoreita asiaankuuluvien kyberviranomaisten kanssa.