Perisian hasad SparkKitty baharu melanda lebih 5,000 pengguna kripto melalui apl Apple dan Google

Bentuk perisian pengintip mudah alih baharu mengeksploitasi kelemahan dalam kedua-dua sistem semakan apl Apple dan Google untuk menyasarkan pengguna kripto di seluruh Asia Tenggara dan China.

Digelar SparkKitty, perisian hasad itu memfokuskan pada mencuri tangkapan skrin frasa benih dompet yang disimpan dalam galeri telefon mudah alih.

Penyelidik keselamatan siber daripada Kaspersky mendedahkan bahawa perisian pengintip itu telah dibenamkan dalam aplikasi yang kelihatan sah, termasuk penjejak portfolio kripto dan versi diubah suai apl popular seperti TikTok.

Kempen perisian hasad, yang mengesan keturunannya kepada varian terdahulu yang dikenali sebagai SparkCat, telah aktif sejak sekurang-kurangnya April 2024.

Sesetengah sampel apl bertarikh lebih jauh ke belakang.

Setelah dipasang, SparkKitty menggunakan kebenaran mengelirukan dan teknologi pengecaman aksara optik (OCR) untuk mengenal pasti dan menghantar imej yang mengandungi teks sensitif seperti frasa benih—vektor serangan dengan implikasi serius bagi sesiapa sahaja yang menyimpan frasa pemulihan mereka pada peranti mereka.

Apl kripto yang dijangkiti memintas keselamatan kedai

Analisis Kaspersky menunjukkan bahawa SparkKitty berjaya menyusup ke Gedung Google Play rasmi dan App Store Apple.

Aplikasi yang terjejas, termasuk Soex Wallet Tracker dan Coin Wallet Pro, menyamar sebagai alat kripto yang menawarkan penjejakan masa nyata, pengurusan portfolio dan perkhidmatan dompet berbilang rantaian.

Dalam satu keadaan, Soex Wallet Tracker telah dimuat turun lebih 5,000 kali sebelum dinyahsenaraikan.

Coin Wallet Pro, yang meletakkan dirinya sebagai dompet digital yang selamat, dilaporkan mendapat daya tarikan melalui iklan media sosial dan saluran Telegram.

Saluran ini menggalakkan pengguna memuat turun apl dan memasang profil pembangun tambahan—memintas mekanisme semakan apl biasa.

Langkah tambahan ini membolehkan perisian hasad beroperasi di luar perlindungan kotak pasir standard yang biasanya menyekat akses kepada galeri foto dan data sistem.

Dengan menggesa pengguna semasa aktiviti tertentu seperti sembang sokongan, SparkKitty boleh mendapat akses kepada storan foto.

Setelah diberikan, ia menggunakan OCR untuk mengekstrak sebarang frasa benih yang boleh dilihat dalam tangkapan skrin.

Frasa ini penting untuk akses dan pemulihan dompet kripto, dan kehilangan kawalan ke atasnya boleh menyebabkan kehilangan dana sepenuhnya.

Perisian hasad SparkKitty bertujuan untuk kecurian data visual

Tidak seperti perisian hasad tradisional yang mencari akses terus kepada apl dompet atau kunci peribadi, tumpuan SparkKitty pada galeri imej menunjukkan peralihan ke arah mengeksploitasi tabiat penyimpanan data visual dalam kalangan pengguna.

Ramai individu, terutamanya pengguna kripto yang lebih baharu, menyimpan tangkapan skrin frasa benih dompet mereka untuk kemudahan.

Amalan ini, walaupun tidak digalakkan oleh kebanyakan penyedia dompet, tetap biasa.

SparkKitty memanfaatkan tingkah laku ini dengan mengimbas beribu-ribu imej di latar belakang, mencari rentetan perkataan yang sepadan dengan format frasa benih biasa.

Setelah dikenal pasti, ini dihantar kembali ke pelayan jauh yang dikawal oleh penyerang.

Model pengecaman visual perisian hasad kelihatan dioptimumkan untuk panjang frasa benih dan format yang digunakan oleh dompet popular seperti MetaMask, Trust Wallet dan Phantom.

Kaspersky menyatakan bahawa walaupun sebahagian besar jangkitan kelihatan tertumpu di Asia Tenggara dan China, kaedah pengedaran aplikasi—melalui media sosial dan kedai aplikasi—menjadikannya sangat berskala.

Serangan serupa boleh diubah hala dengan mudah ke rantau atau pangkalan pengguna lain dengan pengubahsuaian minimum pada pangkalan kod.

Apple dan Google menurunkan apl, sistem semakan di bawah penelitian

Berikutan amaran Kaspersky, Apple dan Google mengalih keluar apl yang dibenderakan daripada platform mereka.

Walau bagaimanapun, persoalan kekal mengenai bagaimana apl ini berjaya lulus semakan awal.

Penggunaan profil pembangun untuk memintas kotak pasir apl mencadangkan kelemahan dalam struktur kebenaran OS mudah alih, terutamanya dalam kes di mana pengguna yakin untuk memberikan akses yang luas.

Kaspersky memberi amaran bahawa kempen itu mungkin masih aktif dalam pasaran aplikasi yang kurang dikawal selia atau melalui muat turun APK langsung.

Pasukan keselamatan telah memantau corak tingkah laku yang serupa merentas apl yang lebih baharu, terutamanya yang dikaitkan dengan ciri kripto sahaja atau alatan kewangan terdesentralisasi (DeFi).

Sebagai langkah berjaga-jaga, pengguna digesa untuk tidak menyimpan frasa benih dalam galeri foto mereka dan mengelak daripada memasang profil yang tidak diketahui atau memberikan akses galeri kepada apl yang tidak dipercayai.

Beberapa pengaruh kripto dan akaun keselamatan di Twitter dan Telegram juga telah mengedarkan amaran mengenai kejadian itu.

Pasukan Kaspersky terus menjejaki infrastruktur rangkaian SparkKitty dan telah berkongsi penunjuk kompromi dengan pihak berkuasa siber yang berkaitan.