Программа SparkKitty охотится за скриншотами seed-фраз на смартфоне

Хакеры придумали новый способ украсть криптосбережения наивных пользователей — через фотогалерею смартфона. Специалисты компании Kaspersky обнаружили вредоносное программное обеспечение SparkKitty, которое охотится за скриншотами seed-фраз от криптовалютных кошельков.

Вредоносная программа действует просто и беспощадно — заражает устройства на iOS и Android через приложения в официальных магазинах App Store и Google Play, а затем тащит все фотографии подряд. Аналитики Сергей Пузан и Дмитрий Калинин отмечают в своем отчете, что SparkKitty не разбирается в содержимом, и крадет абсолютно все изображения из галереи.

«Хотя мы подозреваем, что основная цель злоумышленников — найти скриншоты seed-фраз криптокошельков, в украденных изображениях могут содержаться и другие важные данные», — предупреждают эксперты.

Особенно циничен выбор приложений-переносчиков. Два обнаруженных зараженных приложения как раз специализировались на криптовалютной тематике. Первое — под названием 币coin позиционировало себя как трекер криптоинформации в App Store. Второе — мессенджер SOEX с «функциями криптообмена» в Google Play, который успел набрать более 10 000 установок до того, как Google его удалил.

SparkKitty оказался младшим братом другого вируса — SparkCat, который компания Kaspersky выявила в январе текущего года. Оба используют схожие методы и охотятся за восстановительными фразами криптокошельков, но новая программа работает менее избирательно.

«В отличие от ранее обнаруженного шпионского ПО SparkCat, эта вредоносная программа не привередлива в выборе фотографий», — объясняют аналитики.

Исследователи уверены, что обе программы создала одна и та же группа хакеров — об этом говорят схожие функции и одинаковые пути к файлам в системах злоумышленников. Атаки на пользователей продолжаются с начала 2024 года и представляют серьезную угрозу для пользователей.

География атак

Основные цели SparkKitty — пользователи из Юго-Восточной Азии и Китая. Об этом свидетельствует состав зараженных приложений: китайские игры, клоны TikTok и приложения для взрослых. Впрочем, технических ограничений для атак на пользователей из других регионов у вируса нет.

Google уже отреагировал на угрозу — представитель компании подтвердил изданию Cointelegraph удаление приложения SOEX из магазина и блокировку разработчика. Пользователи Android автоматически защищены от этого приложения благодаря Google Play Protect, который включен по умолчанию на устройствах с сервисами Google.

Kaspersky также обнаружила случаи распространения SparkKitty через приложения казино, игры для взрослых и поддельные версии TikTok. Хакеры явно не ограничиваются одним типом приложений.