Nieuwe SparkKitty-malware treft meer dan 5.000 crypto-gebruikers via Apple- en Google-apps

Een nieuwe vorm van mobiele spyware maakt gebruik van zwakke punten in de app-beoordelingssystemen van zowel Apple als Google om zich te richten op crypto-gebruikers in Zuidoost-Azië en China.

De malware, genaamd SparkKitty, richt zich op het stelen van screenshots van seed-zinnen in portemonnees die zijn opgeslagen in galerijen van mobiele telefoons.

Cybersecurity-onderzoekers van Kaspersky onthulden dat de spyware is ingebed in schijnbaar legitieme applicaties, waaronder crypto-portfoliotrackers en aangepaste versies van populaire apps zoals TikTok.

De malwarecampagne, die zijn oorsprong vindt in een eerdere variant die bekend staat als SparkCat, is actief sinds ten minste april 2024.

Sommige app-voorbeelden dateren nog verder terug.

Eenmaal geïnstalleerd, gebruikt SparkKitty misleidende machtigingen en OCR-technologie (Optical Character Recognition) om afbeeldingen met gevoelige tekst zoals seed-zinnen te identificeren en te verzenden - een aanvalsvector met ernstige gevolgen voor iedereen die zijn herstelzinnen op zijn apparaten opslaat.

Geïnfecteerde crypto apps omzeilden de winkelbeveiliging

Uit de analyse van Kaspersky blijkt dat SparkKitty met succes is geïnfiltreerd in de officiële Google Play Store en Apple's App Store.

De getroffen applicaties, waaronder Soex Wallet Tracker en Coin Wallet Pro, vermomden zich als crypto-tools die realtime tracking, portfoliobeheer en multi-chain wallet-services bieden.

In één geval werd Soex Wallet Tracker meer dan 5.000 keer gedownload voordat het werd verwijderd.

Coin Wallet Pro, dat zichzelf positioneerde als een veilige digitale portemonnee, kreeg naar verluidt grip via advertenties op sociale media en Telegram-kanalen.

Deze kanalen moedigden gebruikers aan om de app te downloaden en extra ontwikkelaarsprofielen te installeren, waarbij de normale app-beoordelingsmechanismen werden omzeild.

Door deze extra stap kon de malware opereren buiten de standaard sandbox-beveiligingen die doorgaans de toegang tot fotogalerijen en systeemgegevens beperken.

Door gebruikers te vragen tijdens specifieke activiteiten, zoals ondersteuningschats, zou SparkKitty toegang kunnen krijgen tot foto-opslag.

Eenmaal verleend, gebruikte het OCR om alle seed-zinnen te extraheren die zichtbaar waren in schermafbeeldingen.

Deze zinnen zijn cruciaal voor crypto wallet toegang en herstel, en het verliezen van de controle erover kan leiden tot volledig verlies van geld.

SparkKitty-malware is gericht op visuele gegevensdiefstal

In tegenstelling tot traditionele malware die directe toegang zoekt tot portemonnee-apps of privésleutels, wijst SparkKitty's focus op afbeeldingsgalerijen op een verschuiving naar het exploiteren van visuele gegevensopslaggewoonten onder gebruikers.

Veel mensen, vooral nieuwere crypto-gebruikers, bewaren voor het gemak screenshots van hun portemonnee-seedzinnen.

Deze praktijk, hoewel ontmoedigd door de meeste wallet-providers, blijft gebruikelijk.

SparkKitty speelt in op dit gedrag door duizenden afbeeldingen op de achtergrond te scannen, op zoek naar woordreeksen die overeenkomen met veelgebruikte seed phrase-formaten.

Zodra deze zijn geïdentificeerd, worden deze teruggestuurd naar externe servers die door de aanvallers worden beheerd.

Het visuele herkenningsmodel van de malware lijkt geoptimaliseerd voor de lengte en indeling van seed phrases die worden gebruikt door populaire wallets zoals MetaMask, Trust Wallet en Phantom.

Kaspersky verklaarde dat hoewel het grootste deel van de infecties geconcentreerd lijkt te zijn in Zuidoost-Azië en China, de methode van app-distributie - via sociale media en app-winkels - het zeer schaalbaar maakt.

Soortgelijke aanvallen kunnen gemakkelijk worden omgeleid naar andere regio's of gebruikersbases met minimale aanpassingen aan de codebase.

Apple en Google halen apps uit de roulatie, reviewsysteem onder de loep

Na de waarschuwing van Kaspersky hebben Apple en Google de gemarkeerde apps van hun platforms verwijderd.

Er blijven echter vragen over hoe deze apps erin slaagden om de eerste beoordelingen te doorstaan.

Het gebruik van ontwikkelaarsprofielen om app-sandboxing te omzeilen suggereert een kwetsbaarheid in de machtigingsstructuren voor mobiele besturingssystemen, met name in gevallen waarin gebruikers ervan overtuigd zijn brede toegang te verlenen.

Kaspersky waarschuwde dat de campagne mogelijk nog steeds actief is in minder gereguleerde app-marktplaatsen of via directe APK-downloads.

Beveiligingsteams hebben toezicht gehouden op vergelijkbare gedragspatronen in nieuwere apps, met name die welke zijn gekoppeld aan crypto-only functies of gedecentraliseerde financiële (DeFi) tools.

Uit voorzorg worden gebruikers aangespoord om geen seed phrases in hun fotogalerijen op te slaan en om geen onbekende profielen te installeren of galerijtoegang te geven tot niet-vertrouwde apps.

Verschillende crypto-influencers en beveiligingsaccounts op Twitter en Telegram hebben ook waarschuwingen over het incident verspreid.

Het team van Kaspersky blijft de netwerkinfrastructuur van SparkKitty volgen en heeft indicatoren van compromittering gedeeld met relevante cyberautoriteiten.