Ny SparkKitty-skadelig programvare treffer over 5,000 kryptobrukere via Apple- og Google-apper

En ny form for mobil spionvare utnytter svakheter i både Apples og Googles appgjennomgangssystemer for å målrette kryptobrukere over hele Sørøst-Asia og Kina.

Kalt SparkKitty, fokuserer skadelig programvare på å stjele skjermbilder av lommebokfrøfraser som er lagret i mobiltelefongallerier.

Cybersikkerhetsforskere fra Kaspersky avslørte at spionvaren har blitt innebygd i tilsynelatende legitime applikasjoner, inkludert kryptoporteføljesporere og modifiserte versjoner av populære apper som TikTok.

Malware-kampanjen, som sporer sin avstamning til en tidligere variant kjent som SparkCat, har vært aktiv siden minst april 2024.

Noen appprøver dateres enda lenger tilbake.

Når den er installert, bruker SparkKitty villedende tillatelser og optisk tegngjenkjenning (OCR)-teknologi for å identifisere og overføre bilder som inneholder sensitiv tekst som frøfraser – en angrepsvektor med alvorlige implikasjoner for alle som lagrer gjenopprettingsfrasene sine på enhetene sine.

Infiserte kryptovaluta apper omgå butikksikkerhet

Kasperskys analyse viser at SparkKitty infiltrerte den offisielle Google Play Store og Apples App Store.

De berørte applikasjonene, inkludert Soex Wallet Tracker og Coin Wallet Pro, forkledde seg som kryptoverktøy som tilbyr sanntidssporing, porteføljestyring og lommeboktjenester med flere kjeder.

I ett tilfelle ble Soex Wallet Tracker lastet ned over 5,000 ganger før den ble fjernet fra listen.

Coin Wallet Pro, som posisjonerte seg som en sikker digital lommebok, fikk angivelig gjennomslag gjennom annonser i sosiale medier og Telegram-kanaler.

Disse kanalene oppfordret brukere til å laste ned appen og installere flere utviklerprofiler – og omgå vanlige appgjennomgangsmekanismer.

Dette ekstra trinnet tillot skadelig programvare å operere utenfor standard sandkassebeskyttelse som vanligvis begrenser tilgangen til fotogallerier og systemdata.

Ved å spørre brukere under spesifikke aktiviteter som støttechatter, kan SparkKitty få tilgang til bildelagring.

Når den ble gitt, brukte den OCR for å trekke ut eventuelle frøfraser som var synlige i skjermbilder.

Disse setningene er avgjørende for krypto lommebok tilgang og gjenoppretting, og å miste kontrollen over dem kan føre til fullstendig tap av midler.

SparkKitty malware tar sikte på visuelt datatyveri

I motsetning til tradisjonell skadelig programvare som søker direkte tilgang til lommebokapper eller private nøkler, indikerer SparkKittys fokus på bildegallerier et skifte mot å utnytte visuelle datalagringsvaner blant brukere.

Mange individer, spesielt nyere kryptobrukere, lagrer skjermbilder av lommebokens frøfraser for enkelhets skyld.

Denne praksisen, selv om den frarådes av de fleste lommebokleverandører, er fortsatt vanlig.

SparkKitty utnytter denne oppførselen ved å skanne tusenvis av bilder i bakgrunnen, på jakt etter strenger med ord som samsvarer med vanlige seed phrase-formater.

Når de er identifisert, sendes disse tilbake til eksterne servere kontrollert av angriperne.

Skadevarens visuelle gjenkjenningsmodell ser ut til å være optimalisert for frøfraselengder og formater som brukes av populære lommebøker som MetaMask, Trust Wallet og Phantom.

Kaspersky uttalte at mens hoveddelen av infeksjonene ser ut til å være konsentrert i Sørøst-Asia og Kina, gjør metoden for appdistribusjon – via sosiale medier og appbutikker – den svært skalerbar.

Lignende angrep kan enkelt omdirigeres til andre regioner eller brukerbaser med minimale endringer i kodebasen.

Apple og Google tar ned apper, anmeldelsessystem under gransking

Etter Kasperskys varsel fjernet Apple og Google de flaggede appene fra plattformene sine.

Det gjenstår imidlertid spørsmål om hvordan disse appene klarte å bestå de første vurderingene.

Bruken av utviklerprofiler for å omgå appsandkasse antyder en sårbarhet i tillatelsesstrukturer for mobile operativsystemer, spesielt i tilfeller der brukere er overbevist om å gi bred tilgang.

Kaspersky advarte om at kampanjen fortsatt kan være aktiv på mindre regulerte appmarkedsplasser eller via direkte APK-nedlastinger.

Sikkerhetsteam har overvåket for lignende atferdsmønstre på tvers av nyere apper, spesielt de som er knyttet til kryptofunksjoner eller desentraliserte finansverktøy (DeFi).

Som en forholdsregel oppfordres brukere til ikke å lagre frøfraser i bildegalleriene sine og unngå å installere ukjente profiler eller gi galleritilgang til ikke-pålitelige apper.

Flere kryptopåvirkere og sikkerhetskontoer på Twitter og Telegram har også sirkulert advarsler om hendelsen.

Kasperskys team fortsetter å spore SparkKittys nettverksinfrastruktur og har delt indikatorer på kompromittering med relevante cybermyndigheter.