Новое мобильное шпионское ПО SparkKitty крадет данные криптокошельков
Обнаружение нового мобильного шпионского ПО SparkKitty
Обнаружено новое мобильное шпионское ПО SparkKitty в App Store и Google Play. Оно маскируется под крипто-тематические и модифицированные приложения. Цель — извлечение seed-фраз и данных кошельков пользователей.
Ключевые детали:
- Является преемником SparkCat, который использовал фальшивые чаты поддержки для доступа к изображениям пользователей.
- Подтверждено в нескольких официальных приложениях, включая мессенджер с крипто-функциями и iOS трекер портфеля «币coin».
- Версия для iOS использует модифицированный фреймворк AFNetworking или Alamofire для извлечения данных при запуске приложения.
- Андроид-версия применяет измененные Java-библиотеки и Google ML Kit для обработки изображений с целью идентификации конфиденциальной информации.
- Пользователи должны доверять сертификату разработчика, связанному с «SINOPEC SABIC Tianjin Petrochemical Co. Ltd.», для получения системных разрешений.
- Адреса командного управления (C2) используют зашифрованные файлы конфигурации AES-256 для инструкций по краже данных.
- Основное внимание уделяется пользователям в Китае и Юго-Восточной Азии, но нет региональных ограничений.
- Apple и Google удалили затронутые приложения после обнаружения; однако кампания может продолжаться через сторонние версии.
Исследователи Kaspersky отметили эволюцию инструментов вредоносного ПО и постоянные методы распространения. Угроза остается активной с начала 2024 года.