Приложения в App Store и Google Play распространяли SparkKitty — вредоносное ПО, похищающее фото и криптовалюту

Специалисты «Лаборатории Касперского» сообщили о выявлении новой вредоносной программы SparkKitty, ориентированной на устройства с Android и iOS. Инфекция распространялась через официальные магазины приложений Google Play и Apple App Store, а также через сторонние ресурсы. Основная цель — получение доступа к криптокошелькам пользователей и конфиденциальным изображениям, хранящимся на устройствах.

Эксперты установили, что SparkKitty может быть модифицированной версией ранее обнаруженного вредоноса SparkCat, использовавшего технологию оптического распознавания символов (OCR) для поиска фраз восстановления криптокошельков в галереях смартфонов. Подобные фразы позволяют восстановить доступ к цифровым активам, поэтому нередко становятся объектом охоты для киберпреступников.

Как отмечается в отчёте «Лаборатории Касперского», SparkKitty не выбирает цели выборочно — программа копирует всё содержимое пользовательской фотогалереи и отправляет его на внешний сервер. При этом исследователи подчёркивают, что среди похищенных файлов могут оказаться не только данные, связанные с криптовалютами, но и личные материалы, пригодные для шантажа или иных атак.

По данным на момент публикации, вредонос был интегрирован в несколько приложений, находившихся в свободном доступе. В частности, в Google Play распространялось приложение SOEX — мессенджер с функциями криптообмена, которое успели скачать более 10 тыс. раз. В App Store присутствовало приложение под названием 币coin. Оба уже удалены с платформ, но срок их активности в официальных каталогах неизвестен.

Помимо этого, исследователи обнаружили модифицированные версии популярных приложений, включая клоны TikTok и программы, маскирующиеся под казино, магазины криптовалют и развлекательные сервисы. Эти копии также содержали встроенный SparkKitty и распространялись через сторонние площадки.

Кампания активна с февраля 2024 года и, по мнению экспертов, может продолжаться в других формах. «Лаборатория Касперского» предупреждает, что хранение фраз восстановления в виде снимков экрана повышает риск компрометации и может привести к полной потере средств.