Ny skadlig programvara SparkKitty drabbar över 5 000 kryptoanvändare via Apple- och Google-appar

En ny form av mobilspionprogram utnyttjar svagheter i både Apples och Googles appgranskningssystem för att rikta in sig på kryptoanvändare i Sydostasien och Kina.

Skadlig programvara, som kallas SparkKitty, fokuserar på att stjäla skärmdumpar av plånboksfröfraser som lagras i mobiltelefongallerier.

Cybersäkerhetsforskare från Kaspersky avslöjade att spionprogrammet har bäddats in i till synes legitima applikationer, inklusive spårare av kryptoportföljer och modifierade versioner av populära appar som TikTok.

Malware-kampanjen, som spårar sin härstamning till en tidigare variant känd som SparkCat, har varit aktiv sedan åtminstone april 2024.

Vissa appprover går ännu längre tillbaka.

När SparkKitty har installerats använder den vilseledande behörigheter och OCR-teknik (optisk teckenigenkänning) för att identifiera och överföra bilder som innehåller känslig text, t.ex. seed-fraser – en attackvektor med allvarliga konsekvenser för alla som lagrar sina återställningsfraser på sina enheter.

Infekterade krypto appar kringgick butikens säkerhet

Kasperskys analys visar att SparkKitty framgångsrikt infiltrerade den officiella Google Play Store och Apples App Store.

De berörda applikationerna, inklusive Soex Wallet Tracker och Coin Wallet Pro, förklädde sig som kryptoverktyg som erbjuder spårning i realtid, portföljhantering och plånbokstjänster med flera kedjor.

Vid ett tillfälle laddades Soex Wallet Tracker ner över 5 000 gånger innan den togs bort.

Coin Wallet Pro, som positionerade sig som en säker digital plånbok, fick enligt uppgift draghjälp genom annonser i sociala medier och Telegram-kanaler.

Dessa kanaler uppmuntrade användarna att ladda ned appen och installera ytterligare utvecklarprofiler – och därmed kringgå de vanliga appgranskningsmekanismerna.

Detta extra steg gjorde det möjligt för skadlig programvara att fungera utanför standardsandlådeskydd som vanligtvis begränsar åtkomsten till fotogallerier och systemdata.

Genom att uppmana användare under specifika aktiviteter som supportchattar kan SparkKitty få tillgång till fotolagring.

När det väl hade beviljats använde det OCR för att extrahera alla fröfraser som syns i skärmdumpar.

Dessa fraser är avgörande för kryptoplånbok åtkomst och återhämtning, och att förlora kontrollen över dem kan leda till fullständig förlust av pengar.

SparkKitty malware syftar till visuell datastöld

Till skillnad från traditionell skadlig kod som söker direkt åtkomst till plånboksappar eller privata nycklar, indikerar SparkKittys fokus på bildgallerier ett skifte mot att utnyttja visuella datalagringsvanor bland användare.

Många individer, särskilt nyare kryptoanvändare, sparar skärmdumpar av sina plånboksfröfraser för enkelhetens skull.

Denna praxis, även om den avråds av de flesta plånboksleverantörer, är fortfarande vanlig.

SparkKitty drar nytta av detta beteende genom att skanna tusentals bilder i bakgrunden och leta efter strängar av ord som matchar vanliga fröfrasformat.

När de har identifierats skickas de tillbaka till fjärrservrar som kontrolleras av angriparna.

Skadlig programvaras visuella igenkänningsmodell verkar optimerad för seed-fraslängder och format som används av populära plånböcker som MetaMask, Trust Wallet och Phantom.

Kaspersky uppgav att även om huvuddelen av infektionerna verkar vara koncentrerade till Sydostasien och Kina, gör metoden för appdistribution – via sociala medier och appbutiker – det mycket skalbart.

Liknande attacker kan enkelt omdirigeras till andra regioner eller användarbaser med minimala ändringar av kodbasen.

Apple och Google tar ner appar, granskningssystemet granskas

Efter Kasperskys varning tog Apple och Google bort de flaggade apparna från sina plattformar.

Frågor kvarstår dock om hur dessa appar lyckades klara de första recensionerna.

Användningen av utvecklarprofiler för att kringgå appsandlådor tyder på en sårbarhet i behörighetsstrukturer för mobila operativsystem, särskilt i fall där användare är övertygade om att bevilja bred åtkomst.

Kaspersky varnade för att kampanjen fortfarande kan vara aktiv på mindre reglerade appmarknader eller via direkta APK-nedladdningar.

Säkerhetsteam har övervakat liknande beteendemönster i nyare appar, särskilt de som är förknippade med funktioner för endast krypto eller decentraliserade finansverktyg (DeFi).

Som en försiktighetsåtgärd uppmanas användare att inte spara seed-fraser i sina fotogallerier och att undvika att installera okända profiler eller ge galleriåtkomst till icke-betrodda appar.

Flera kryptoinfluencers och säkerhetskonton på Twitter och Telegram har också cirkulerat varningar om händelsen.

Kasperskys team fortsätter att spåra SparkKittys nätverksinfrastruktur och har delat indikatorer på intrång med relevanta cybermyndigheter.