Специалисты по кибербезопасности зафиксировали появление нового мобильного трояна SparkKitty, который представляет серьезную угрозу для владельцев криптовалютных активов. Вредоносная программа распространяется через официальные магазины приложений App Store и Google Play, а также через мошеннические веб-ресурсы, маскируясь под популярные приложения.
Механизм распространения и целевая аудитория
Троян SparkKitty использует несколько векторов атак для максимального охвата потенциальных жертв. В официальных магазинах приложений малварь выдает себя за криптовалютные трекеры курсов и торговые сигналы. Особую опасность представляют модифицированные версии популярного приложения TikTok, распространяемые через поддельные сайты, имитирующие официальные магазины.
Основной целью киберпреступников являются пользователи из Юго-Восточной Азии и Китая, однако зараженные приложения также ориентированы на российскую аудиторию. Злоумышленники активно рекламируют свои вредоносные продукты в социальных сетях и на YouTube, привлекая внимание потенциальных жертв обещаниями высокой доходности от инвестиций в криптовалюты.
Технические особенности трояна для iOS и Android
Реализация для iOS-устройств
На платформе iOS вредоносный код интегрируется в приложения через обфусцированные фреймворки, маскирующиеся под легитимные компоненты AFNetworking.framework или Alamofire.framework. Для обхода защитных механизмов Apple киберпреступники используют корпоративные provisioning-профили, предназначенные для распространения бизнес-приложений.
Эта схема позволяет устанавливать неавторизованные приложения на iPhone без jailbreak, используя сертификаты разработчиков из программы Apple Developer. Несмотря на платное участие в программе и процедуры верификации, злоумышленники регулярно злоупотребляют этой возможностью для распространения вредоносного ПО.
Варианты для Android-платформы
Android-версия трояна существует в двух вариантах: написанном на Java и Kotlin. Версия на Kotlin представляет собой вредоносный Xposed-модуль, что позволяет глубже интегрироваться в операционную систему. Только одно из зараженных приложений — мессенджер с функцией обмена криптовалют — было загружено из Google Play более 10 000 раз.
Методы кражи конфиденциальных данных
После успешной установки SparkKitty начинает скрытно передавать злоумышленникам изображения из галереи зараженного устройства, а также подробную информацию о смартфоне или планшете. Троян не проявляет избирательности при краже фотографий, однако основная цель атакующих — поиск скриншотов с seed-фразами для восстановления доступа к криптокошелькам.
В модифицированной версии TikTok злоумышленники дополнительно встраивают ссылки на подозрительные интернет-магазины, принимающие оплату исключительно в криптовалюте. Это указывает на комплексный подход к монетизации украденных данных.
Связь с предыдущими кампаниями
Анализ кода и инфраструктуры показывает, что SparkKitty связан с ранее обнаруженным трояном SparkCat, что свидетельствует о продолжающейся активности организованной группировки. Вредоносная кампания действует как минимум с февраля 2024 года, демонстрируя высокий уровень организации и техническую изощренность.
Своевременное обнаружение и анализ подобных угроз критически важны для защиты пользователей мобильных устройств. Рекомендуется устанавливать приложения исключительно из официальных магазинов, регулярно проверять разрешения установленных программ и использовать надежные антивирусные решения. Владельцам криптовалютных активов следует особенно внимательно относиться к безопасности своих seed-фраз и никогда не сохранять их в виде скриншотов на мобильных устройствах.
