Експерти з кібербезпеки виявили нову серйозну загрозу для власників цифрових активів – мобільний троян SparkKitty. Ця шкідлива програма активно поширюється через офіційні магазини додатків App Store та Google Play, а також через фішингові веб-ресурси, імітуючи популярні мобільні застосунки.
Схеми розповсюдження та цільова аудиторія
Кіберзлочинці використовують багатовекторний підхід для максимального охоплення потенційних жертв. У офіційних магазинах додатків малвар маскується під трекери курсів криптовалют та програми для торгових сигналів. Особливу небезпеку становлять модифіковані версії TikTok, що розповсюджуються через підроблені сайти, які імітують офіційні магазини.
Основною мішенню атакуючих є користувачі з Південно-Східної Азії та Китаю, проте заражені застосунки також націлені на російськомовну аудиторію. Зловмисники активно просувають свої шкідливі продукти в соціальних мережах та на YouTube, приваблюючи потенційних жертв обіцянками високої прибутковості від інвестицій у криптовалюти.
Технічні характеристики трояна для різних платформ
Реалізація для iOS-пристроїв
На платформі iOS шкідливий код інтегрується в додатки через обфусковані фреймворки, що маскуються під легітимні компоненти AFNetworking.framework або Alamofire.framework. Для обходу захисних механізмів Apple кіберзлочинці використовують корпоративні provisioning-профілі, призначені для розповсюдження бізнес-додатків.
Ця схема дозволяє встановлювати неавторизовані застосунки на iPhone без jailbreak, використовуючи сертифікати розробників з програми Apple Developer. Незважаючи на платну участь у програмі та процедури верифікації, зловмисники регулярно зловживають цією можливістю для поширення шкідливого ПЗ.
Варіанти для Android-платформи
Android-версія трояна існує у двох варіантах: написаному на Java та Kotlin. Версія на Kotlin являє собою шкідливий Xposed-модуль, що дозволяє глибшу інтеграцію в операційну систему. Лише один із заражених додатків – месенджер з функцією обміну криптовалют – було завантажено з Google Play понад 10 000 разів.
Методи викрадення конфіденційних даних
Після успішного встановлення SparkKitty починає приховано передавати зловмисникам зображення з галереї зараженого пристрою, а також детальну інформацію про смартфон або планшет. Троян не проявляє вибірковості при викраденні фотографій, однак основна мета атакуючих – пошук скріншотів з seed-фразами для відновлення доступу до криптогаманців.
У модифікованій версії TikTok зловмисники додатково вбудовують посилання на підозрілі інтернет-магазини, що приймають оплату виключно в криптовалюті. Це вказує на комплексний підхід до монетизації викрадених даних.
Зв’язок з попередніми кампаніями
Аналіз коду та інфраструктури показує, що SparkKitty пов’язаний з раніше виявленим трояном SparkCat, що свідчить про триваючу активність організованого угруповання. Шкідлива кампанія діє принаймні з лютого 2024 року, демонструючи високий рівень організації та технічну витонченість.
Своєчасне виявлення подібних загроз критично важливе для захисту користувачів мобільних пристроїв. Рекомендується встановлювати додатки виключно з офіційних магазинів, регулярно перевіряти дозволи встановлених програм та використовувати надійні антивірусні рішення. Власникам криптовалютних активів слід особливо уважно ставитися до безпеки своїх seed-фраз і ніколи не зберігати їх у вигляді скріншотів на мобільних пристроях.