SparkKitty: новая угроза с OCR для кражи криптоданных
Источник: www.secureblink.com
В январе 2024 года была выявлена новая модификация вредоносной программы SparkCat — SparkKitty, представляющая собой серьёзную угрозу для пользователей мобильных устройств на базе iOS и Android. Эта вредоносная программа использует передовую технологию оптического распознавания символов (OCR) для систематического похищения конфиденциальных данных со взломанных устройств, обходя при этом меры безопасности Apple и Google.
Механизм заражения и распространения
Заражение обычно происходит при загрузке пользователями вредоносных приложений из официальных магазинов, в частности Google Play и App Store. Среди известных примеров таких приложений — SOEX (обмен сообщениями и криптовалютами) и Coin (инструмент для отслеживания криптовалют).
После установки SparkKitty обманным путём получает у пользователя разрешение на доступ к фотогалерее, маскируя свои запросы под легитимные функции приложения.
- На устройствах iOS активация происходит через метод Objective-C «+загрузка».
- В версиях для Android запуск вредоноса осуществляется либо при старте приложения, либо в ответ на определённые действия пользователя.
Технические детали и методы работы
SparkKitty загружает зашифрованные конфигурационные файлы, используя AES-256 для безопасного подключения к серверам управления (C&C). Вредоносное ПО демонстрирует высокий уровень технической сложности и применяет ряд способов уклонения от обнаружения:
- На iOS — использование поддельных платформ, таких как AFNetworking.framework и libswiftDarwin.dylib, распространяемых через корпоративные профили обеспечения.
- На Android — эксплуатация системных уязвимостей с помощью вредоносных модулей Xposed и LSPosed.
Особое внимание заслуживают возможности OCR SparkKitty, которые реализованы на базе Google ML Kit. Это интеллектуальное распознавание текста позволяет эффективно фильтровать и извлекать данные, минимизируя при этом объём передаваемой информации и снижая риск детектирования.
Цели и масштаб кампании
Основная цель SparkKitty — извлечение полных библиотек фотографий, особенно содержащих фразы восстановления криптовалютных кошельков, представленные в виде изображений. Полученная информация позволяет злоумышленникам получить полный контроль над цифровыми активами жертв.
Только в Google Play количество загрузок вредоносных приложений превысило 242 000. Кроме официальных каналов, SparkKitty распространяется через неофициальные приложения, маскирующиеся под:
- клонированные версии TikTok;
- приложения для азартных игр;
- игры для взрослых.
При этом основная аудитория — пользователи из Китая и Юго-Восточной Азии, хотя угроза носит глобальный характер.
Ответные меры и рекомендации специалистов
В ответ на выявленную угрозу компании Google и Apple оперативно удалили вредоносные приложения из магазинов и заблокировали разработчиков, связанных с SparkKitty. Тем не менее, факт успешного проникновения в официальные магазины вызывает опасения относительно надёжности существующих механизмов проверки безопасности.
Эксперты Kaspersky настоятельно рекомендуют пользователям:
- немедленно удалять подозрительные приложения;
- регулярно проверять права доступа приложений, особенно если они не соответствуют ключевым функциям программ;
- быть настороже и не игнорировать предупреждения систем безопасности.
Выводы
Появление SparkKitty — тревожный сигнал о растущих рисках, связанных с мобильными вредоносными программами. Инновационное использование OCR-технологий, сочетание сложных методов обхода безопасности и широкое распространение делают SparkKitty одной из самых технологически продвинутых и опасных угроз современности.
Этот случай подчеркивает, что даже официальные магазины приложений не гарантируют полную защиту, и потому постоянная бдительность со стороны пользователей и операторов платформ — _обязательное условие_ обеспечения безопасности мобильных устройств.
Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.
Ознакомиться подробнее с отчетом можно по ссылке.
