SparkKitty kradnie frazy seed z Twojej galerii – nawet z oficjalnych aplikacji
Eksperci z Kaspersky ujawnili nową kampanię złośliwego oprogramowania mobilnego, które trafiło do Google Play i Apple App Store pod nazwą SparkKitty. Szkodnik wykrada zdjęcia z galerii użytkownika, licząc na to, że znajdzie wśród nich zapisane frazy odzyskiwania portfela kryptowalutowego – tzw. seed phrase, dające pełny dostęp do zasobów użytkownika. SparkKitty to ewolucja wcześniejszego zagrożenia o nazwie SparkCat, które wykorzystywało technologię OCR (optycznego rozpoznawania znaków), by wydobywać tekst z obrazów i zdobywać hasła oraz frazy seed. Użytkownicy, którzy – wbrew zaleceniom – robili zrzuty ekranu z frazą odzyskiwania podczas tworzenia portfela kryptowalutowego, stawali się głównym celem ataku.
Atakuje galerie zdjęć – i to bez pytania
SparkKitty, po uzyskaniu dostępu do pamięci urządzenia, automatycznie eksfiltruje zdjęcia – zarówno nowe, jak i te już zapisane – przesyłając je do serwerów cyberprzestępców. Działa to zarówno w systemie iOS, jak i Android. Na iPhone’ach złośliwy kod jest osadzany w strukturach takich jak AFNetworking.framework czy libswiftDarwin.dylib i może być rozpowszechniany m.in. przez profile aprowizacji przedsiębiorstwa. W systemie Android SparkKitty wykorzystuje m.in. złośliwe biblioteki Xposed/LSPosed, a po uzyskaniu zgody użytkownika na dostęp do pamięci – co często jest wymuszane przy pierwszym uruchomieniu aplikacji – automatycznie pobiera i odszyfrowuje konfigurację C2, umożliwiając zdalne zarządzanie infekcją. Niektóre wersje SparkKitty używają Google ML Kit OCR, by identyfikować tylko obrazy zawierające tekst – co dodatkowo zwiększa skuteczność kradzieży fraz seed.
Jakie aplikacje były zainfekowane?
Złośliwe oprogramowanie zostało wykryte w aplikacjach dostępnych nawet w oficjalnych sklepach Google i Apple. W App Store był to program o nazwie 币coin, zaś w Google Play – aplikacja SOEX, którą pobrano ponad 10 000 razy. Dodatkowo SparkKitty był również rozprzestrzeniany poza oficjalnymi kanałami, np. jako:
klony TikToka z funkcjami giełd kryptowalut,
aplikacje hazardowe i kasynowe,
aplikacje o tematyce dla dorosłych.
W systemie iOS szkodnik aktywuje się automatycznie po uruchomieniu aplikacji, korzystając z metody Objective-C +load, a następnie śledzi galerię zdjęć i kopiuje pliki graficzne, jeśli znajdzie nowe lub nieprzesłane wcześniej obrazy.
W systemie Android infekcja działa po uruchomieniu aplikacji lub aktywacji odpowiednich ekranów i zaczyna przesyłać zdjęcia, identyfikatory urządzeń oraz metadane – często bez wiedzy użytkownika.
Co robić, by nie paść ofiarą SparkKitty?
SparkKitty pokazuje, że obecność w App Store lub Google Play nie gwarantuje bezpieczeństwa. Eksperci radzą:
Nie zapisuj fraz seed w galerii zdjęć ani na urządzeniu – trzymaj je offline.
Nie instaluj aplikacji z nieznanych źródeł – w iOS unikaj profilów konfiguracyjnych, w Androidzie korzystaj z Google Play Protect.
Zawsze sprawdzaj, jakie uprawnienia żąda aplikacja – jeśli aplikacja nie ma nic wspólnego ze zdjęciami, nie powinna żądać dostępu do galerii.
Uważaj na aplikacje z małą liczbą pobrań i podejrzanie dobrymi recenzjami – to częsty znak oszustwa.
Używaj skanerów bezpieczeństwa i ustaw skanowanie urządzenia jako regularne działanie.
Co dalej? Apple i Google usuwają aplikacje, ale problem nie znika
Obie firmy usunęły już złośliwe aplikacje. Google zapewnia, że użytkownicy są automatycznie chronieni przez Google Play Protect, a zidentyfikowany deweloper został zbanowany. Apple nie wydało jeszcze oficjalnego oświadczenia, ale zgodnie z raportem Kaspersky – wiele z tych aplikacji było aktywnych od lutego 2024 roku, co oznacza długi czas działania kampanii. Zagrożenie nie dotyczy więc tylko użytkowników kryptowalut – każdy, kto przechowuje prywatne dane w galerii zdjęć, może paść ofiarą kradzieży i szantażu.
