Nowe złośliwe oprogramowanie SparkKitty uderza w ponad 5 000 użytkowników kryptowalut za pośrednictwem aplikacji Apple i Google

Nowa forma mobilnego oprogramowania szpiegującego wykorzystuje słabości systemów recenzji aplikacji zarówno Apple, jak i Google, aby atakować użytkowników kryptowalut w Azji Południowo-Wschodniej i Chinach.

Złośliwe oprogramowanie, nazwane SparkKitty, koncentruje się na kradzieży zrzutów ekranu fraz seed portfela przechowywanych w galeriach telefonów komórkowych.

Badacze cyberbezpieczeństwa z firmy Kaspersky ujawnili , że oprogramowanie szpiegujące zostało osadzone w pozornie legalnych aplikacjach, w tym w narzędziach do śledzenia portfela kryptowalut i zmodyfikowanych wersjach popularnych aplikacji, takich jak TikTok.

Kampania złośliwego oprogramowania, która wywodzi się z wcześniejszego wariantu znanego jako SparkCat, jest aktywna co najmniej od kwietnia 2024 roku.

Niektóre przykłady aplikacji pochodzą jeszcze z jeszcze większej przeszłości.

Po zainstalowaniu SparkKitty wykorzystuje zwodnicze uprawnienia i technologię optycznego rozpoznawania znaków (OCR) do identyfikowania i przesyłania obrazów zawierających poufny tekst, taki jak frazy początkowe — wektor ataku z poważnymi konsekwencjami dla każdego, kto przechowuje swoje frazy odzyskiwania na swoich urządzeniach.

Zainfekowane aplikacje kryptowaluty ominęły zabezpieczenia sklepu

Analiza Kaspersky'ego pokazuje, że SparkKitty z powodzeniem przeniknął do oficjalnego sklepu Google Play i Apple App Store.

Aplikacje, których dotyczy problem, w tym Soex Wallet Tracker i Coin Wallet Pro, podszywały się pod narzędzia kryptograficzne oferujące śledzenie w czasie rzeczywistym, zarządzanie portfelem i usługi portfeli wielołańcuchowych.

W jednym przypadku Soex Wallet Tracker został pobrany ponad 5 000 razy, zanim został usunięty z listy.

Coin Wallet Pro, który pozycjonował się jako bezpieczny portfel cyfrowy, podobno zyskał popularność dzięki reklamom w mediach społecznościowych i kanałom Telegram.

Kanały te zachęcały użytkowników do pobrania aplikacji i zainstalowania dodatkowych profili programistów z pominięciem normalnych mechanizmów recenzowania aplikacji.

Ten dodatkowy krok pozwolił złośliwemu oprogramowaniu działać poza standardowymi zabezpieczeniami piaskownicy, które zwykle ograniczają dostęp do galerii zdjęć i danych systemowych.

Monitując użytkownikom podczas określonych czynności, takich jak czaty wsparcia, SparkKitty może uzyskać dostęp do przechowywania zdjęć.

Po przyznaniu użył OCR do wyodrębnienia wszelkich fraz seed widocznych na zrzutach ekranu.

Frazy te mają kluczowe znaczenie dla dostępu do portfel kryptowalut i odzyskania ich, a utrata kontroli nad nimi może prowadzić do całkowitej utraty środków.

Złośliwe oprogramowanie SparkKitty ma na celu wizualną kradzież danych

W przeciwieństwie do tradycyjnego złośliwego oprogramowania, które szuka bezpośredniego dostępu do aplikacji portfela lub kluczy prywatnych, skupienie się SparkKitty na galeriach obrazów wskazuje na zmianę w kierunku wykorzystywania nawyków przechowywania danych wizualnych wśród użytkowników.

Wiele osób, zwłaszcza nowi użytkownicy kryptowalut, dla wygody zapisuje zrzuty ekranu fraz seed swojego portfela.

Ta praktyka, choć odradzana przez większość dostawców portfeli, pozostaje powszechna.

SparkKitty wykorzystuje to zachowanie, skanując tysiące obrazów w tle, szukając ciągów słów, które pasują do popularnych formatów fraz początkowych.

Po zidentyfikowaniu są one wysyłane z powrotem na zdalne serwery kontrolowane przez atakujących.

Model rozpoznawania wizualnego złośliwego oprogramowania wydaje się być zoptymalizowany pod kątem długości i formatów fraz seed używanych przez popularne portfele, takie jak MetaMask, Trust Wallet i Phantom.

Kaspersky stwierdził, że chociaż większość infekcji wydaje się być skoncentrowana w Azji Południowo-Wschodniej i Chinach, metoda dystrybucji aplikacji - za pośrednictwem mediów społecznościowych i sklepów z aplikacjami - sprawia, że jest ona wysoce skalowalna.

Podobne ataki mogą być łatwo przekierowywane do innych regionów lub baz użytkowników przy minimalnych modyfikacjach bazy kodu.

Apple i Google usuwają aplikacje, system recenzji pod lupą

Po ostrzeżeniu Kaspersky'ego, Apple i Google usunęły oznaczone aplikacje ze swoich platform.

Pozostają jednak pytania, w jaki sposób te aplikacje zdołały przejść wstępne recenzje.

Wykorzystanie profili programistów do ominięcia piaskownicy aplikacji sugeruje lukę w strukturach uprawnień mobilnego systemu operacyjnego, szczególnie w przypadkach, gdy użytkownicy są przekonani do udzielenia szerokiego dostępu.

Kaspersky ostrzegł, że kampania może być nadal aktywna na mniej regulowanych rynkach aplikacji lub poprzez bezpośrednie pobieranie APK.

Zespoły ds. bezpieczeństwa monitorują podobne wzorce zachowań w nowszych aplikacjach, zwłaszcza tych związanych z funkcjami tylko kryptowalutowymi lub narzędziami zdecentralizowanych finansów (DeFi).

Jako środek ostrożności zachęca się użytkowników, aby nie zapisywali fraz seed w swoich galeriach zdjęć i unikali instalowania nieznanych profili lub udzielania galerii dostępu do niezaufanych aplikacji.

Kilku influencerów kryptowalutowych i kont bezpieczeństwa na Twitterze i Telegramie również rozesłało ostrzeżenia o incydencie.

Zespół Kaspersky'ego kontynuuje śledzenie infrastruktury sieciowej SparkKitty i udostępnił wskaźniki naruszenia bezpieczeństwa odpowiednim organom ds. cyberbezpieczeństwa.