Noul malware SparkKitty lovește peste 5.000 de utilizatori cripto prin intermediul aplicațiilor Apple și Google

O nouă formă de spyware mobil exploatează punctele slabe ale sistemelor de revizuire a aplicațiilor Apple și Google pentru a viza utilizatorii cripto din Asia de Sud-Est și China.

Denumit SparkKitty, malware-ul se concentrează pe furtul de capturi de ecran ale frazelor de bază din portofel stocate în galeriile de telefoane mobile.

Cercetătorii în securitate cibernetică de la Kaspersky au dezvăluit că spyware-ul a fost încorporat în aplicații aparent legitime, inclusiv trackere de portofoliu cripto și versiuni modificate ale aplicațiilor populare precum TikTok.

Campania malware, care își urmărește descendența la o variantă anterioară cunoscută sub numele de SparkCat, este activă cel puțin din aprilie 2024.

Unele mostre de aplicații datează chiar mai devreme.

Odată instalat, SparkKitty folosește permisiuni înșelătoare și tehnologia de recunoaștere optică a caracterelor (OCR) pentru a identifica și transmite imagini care conțin text sensibil, cum ar fi fraze de bază - un vector de atac cu implicații serioase pentru oricine își stochează frazele de recuperare pe dispozitivele sale.

Aplicațiile cripto infectate au ocolit securitatea magazinului

Analiza Kaspersky arată că SparkKitty s-a infiltrat cu succes în Google Play Store și App Store Apple.

Aplicațiile afectate, inclusiv Soex Wallet Tracker și Coin Wallet Pro, s-au deghizat în instrumente cripto care oferă servicii de urmărire în timp real, gestionare a portofoliului și servicii de portofel cu mai multe lanțuri.

Într-un caz, Soex Wallet Tracker a fost descărcat de peste 5.000 de ori înainte de a fi eliminat.

Coin Wallet Pro, care s-a poziționat ca un portofel digital securizat, a câștigat tracțiune prin reclame pe rețelele sociale și canalele Telegram.

Aceste canale au încurajat utilizatorii să descarce aplicația și să instaleze profiluri de dezvoltator suplimentare, ocolind mecanismele normale de revizuire a aplicațiilor.

Acest pas suplimentar a permis malware-ului să funcționeze în afara protecțiilor standard sandbox care restricționează de obicei accesul la galeriile foto și la datele de sistem.

Prin solicitarea utilizatorilor în timpul unor activități specifice, cum ar fi chat-urile de asistență, SparkKitty ar putea obține acces la stocarea fotografiilor.

Odată acordat, a folosit OCR pentru a extrage orice fraze de bază vizibile în capturile de ecran.

Aceste fraze sunt cruciale pentru accesul și recuperarea portofelelor cripto, iar pierderea controlului asupra acestora poate duce la pierderea completă a fondurilor.

Malware-ul SparkKitty vizează furtul de date vizuale

Spre deosebire de malware-ul tradițional care caută acces direct la aplicații de portofel sau chei private, concentrarea SparkKitty pe galeriile de imagini indică o schimbare către exploatarea obiceiurilor de stocare a datelor vizuale în rândul utilizatorilor.

Multe persoane, în special utilizatorii cripto mai noi, salvează capturi de ecran ale frazelor lor de bază din portofel pentru comoditate.

Această practică, deși descurajată de majoritatea furnizorilor de portofele, rămâne comună.

SparkKitty valorifică acest comportament scanând mii de imagini în fundal, căutând șiruri de cuvinte care se potrivesc cu formatele comune de fraze de bază.

Odată identificate, acestea sunt trimise înapoi la servere la distanță controlate de atacatori.

Modelul de recunoaștere vizuală al malware-ului pare optimizat pentru lungimea și formatele frazelor de bază utilizate de portofele populare precum MetaMask, Trust Wallet și Phantom.

Kaspersky a declarat că, în timp ce cea mai mare parte a infecțiilor par concentrate în Asia de Sud-Est și China, metoda de distribuire a aplicațiilor – prin intermediul rețelelor sociale și al magazinelor de aplicații – o face extrem de scalabilă.

Atacuri similare ar putea fi ușor redirecționate către alte regiuni sau baze de utilizatori cu modificări minime ale bazei de cod.

Apple și Google elimină aplicațiile, sistemul de revizuire este sub control

În urma alertei Kaspersky, Apple și Google au eliminat aplicațiile semnalate de pe platformele lor.

Cu toate acestea, rămân întrebări cu privire la modul în care aceste aplicații au reușit să treacă de recenziile inițiale.

Utilizarea profilurilor dezvoltatorilor pentru a ocoli sandboxing-ul aplicațiilor sugerează o vulnerabilitate în structurile de permisiuni ale sistemului de operare mobil, în special în cazurile în care utilizatorii sunt convinși să acorde acces larg.

Kaspersky a avertizat că campania ar putea fi încă activă pe piețele de aplicații mai puțin reglementate sau prin descărcări directe de APK.

Echipele de securitate au monitorizat modele comportamentale similare în aplicațiile mai noi, în special cele asociate cu funcții exclusiv cripto sau instrumente de finanțare descentralizată (DeFi).

Ca măsură de precauție, utilizatorii sunt îndemnați să nu salveze fraze de bază în galeriile lor foto și să evite instalarea de profiluri necunoscute sau să ofere acces galeriei la aplicații care nu sunt de încredere.

Mai mulți influenceri cripto și conturi de securitate de pe Twitter și Telegram au circulat, de asemenea, avertismente cu privire la incident.

Echipa Kaspersky continuă să urmărească infrastructura de rețea a SparkKitty și a împărtășit indicatori de compromitere cu autoritățile cibernetice relevante.