Сложный новый троян, зловеще названный «Sparkkitty», стал значительной угрозой для пользователей смартфонов, активно отталкивая конфиденциальные данные с возможностью облегчения истощения кошельков криптовалюты. Фирма по кибербезопасности Касперски раскрыла детали этого распространенного вредоносного ПО в всеобъемлющем отчете, опубликованном во вторник, подчеркивая его коварную природу и широко распространенный охват.
Скрытая инфильтрация Sparkkitty достигается благодаря его внедрению в различные, казалось бы, безобидные приложения. К ним относятся приложения, якобы связанные с торговлей криптовалютой, различными платформами азартных игр и даже модифицированными итерациями популярных приложений в социальных сетях, таких как Tiktok. Этот широкий спектр каналов распределения позволяет вредоносному ПО отдавать широкую сеть, заманивая ничего не подозревающих пользователей, которые загружают эти скомпрометированные приложения.
Вектор инфекции для Sparkkitty в основном использует обманчивые профили. Эти профили, обычно используемые для законных целей, такие как запуск приложений для iOS или модифицированные версии существующих приложений, являются вооруженными злоумышленниками для установки вредоносного программного обеспечения на устройство пользователя. После установки Sparkkitty немедленно устанавливает о положении своей опоры, коварно запрашивая доступ к фотогалерее устройства. Его эксплуатационный образ, операнди включает в себя усердное мониторинг любых изменений в галерее, тщательно создавая локальную базу данных украденных изображений и впоследствии загружает эти фотографии на удаленный сервер, управляемый злоумышленниками.
Анализ Касперского убедительно предполагает определенную ценную цель для преступников, стоящих за Sparkkitty: «Мы подозреваем, что главная цель злоумышленников-найти скриншоты фраз крипто-кошелька». Эта гипотеза подчеркивает значительную финансовую мотивацию, стимулирующую создание вредоносных программ, поскольку семенные фразы представляют собой окончательный ключ к разблокировке и доступу к криптовалютным владениям пользователя. Способность эксфильтрировать эти важные части информации предоставляет злоумышленникам полный и беспрепятственный доступ к цифровым активам жертвы.
В то время как текущие основные цели Sparkkitty сосредоточены в Китае и Юго -Восточной Азии, Касперский издал резкое предупреждение о его потенциале для глобального распространения. Фирма подчеркнула, что «не было ничего, чтобы помешать его распространять в другие регионы», что указывает на присущую адаптивность и масштабируемость вредоносного ПО. Это вызывает обеспокоенность у пользователей смартфонов по всему миру, которые скоро могут оказаться уязвимыми для этой сложной угрозы.
Финансовые последствия таких инфраструктурных атак являются существенными. TRM Labs в своем всеобъемлющем отчете за 2024 год подсчитал, что ошеломляющие почти 70% от криптовалюты на сумму 2,2 миллиарда долларов, украденной в предыдущем году, были связаны с атаками инфраструктуры. Эти атаки, особенно те, которые включают в себя незаконное приобретение частных ключей и семенных фраз, подчеркивают прибыльный характер нацеливания цифровых учетных данных. Вдобахние, как Sparkkitty, напрямую способствует этой тревожной тенденции, позволяя злоумышленникам использовать данные из зараженных устройств для систематического поиска и компромисс ценных учетных данных кошелька.
Дальнейший анализ экспертов по кибербезопасности предполагает прочную связь между SparkKitty и ранее идентифицированной кампанией по шпионским программам, известной как SparkCat. SparkCat, впервые обнаруженный в январе 2025 года, демонстрировал аналогичные характеристики, используя наборы для развития вредоносных программ (SDK) для получения несанкционированного доступа к фотографиям пользователей на различных устройствах. В то время как подход SparkCat был более утонченным, сосредоточив внимание на своих возможностях шпионских программ на идентификации изображений, содержащих семенные фразы, посредством применения технологии оптического распознавания персонажей (OCR), Sparkkitty принимает более неизбирательный метод грубой силы. Он «без разбора загружает фотографии, предположительно, будучи обрабатываемыми позже», подразумевая нижестоящий анализ эксфильтрированных изображений для ценной информации, включая потенциальные фразы семян.
Распространенный характер Sparkkitty еще больше подчеркивается его подтвержденным присутствием в обеих основных мобильных операционных системах. Он был обнаружен в приложениях, доступных как в магазинах приложений Android, так и в приложениях для Android и iOS, часто замаскированных под легитимные инструменты тему криптором или в качестве модифицированных версий популярных социальных сетей, таких как тикток. Эта кроссплатформенная совместимость значительно расширяет свой потенциальный пул жертв и увеличивает его профиль угрозы.
Sparkkitty не является изолированным инцидентом, а скорее присоединяется к растущему пантеону крипто-нацеленных вредоносных программ и троянов, которые в последние годы приобрели значительную активность среди киберпреступников. Этот развивающийся ландшафт цифровых угроз подчеркивает растущую изощренность и диверсификацию атак, направленных на использование растущей экосистемы криптовалюты.
Среди этих примечательных угроз – ладлофил информации, который был обнаружен встроенным в инструменты искусственного интеллекта (ИИ), доступные для загрузки онлайн. Эта оппортунистическая стратегия использует растущий интерес и быстрое внедрение технологий ИИ, чтобы заинтересовать ничего не подозревающих пользователей. Хакеры тщательно создают убедительные веб-сайты искусственного интеллекта, которые они затем в значительной степени рекламируют на различных социальных сетях, чтобы привлечь жертв. После загрузки эти, казалось бы, законные инструменты искусственного интеллекта, становятся проведенными для вредоносного ПО для вредоносных программ, ставя под угрозу пользовательские данные.
Глобальная борьба с такими киберугрозами недавно оказала значительную победу в мае, когда международные усилия правоохранительных органов успешно нацелены на ключевую инфраструктуру, связанную с распределением еще одного сильного напряжения вредоносного ПО, известного как Lummac2. Lummac2 был замешан в удивительных 1,7 миллионах попыток кражи, в первую очередь, сфокусированной на краже учетных данных, в том числе жизненно важных для доступа к криптовалютному кошелькам. Координированные действия против инфраструктуры Lummac2 подчеркивают текущие, совместные усилия глобальных властей по демонтажу сети, которые облегчают эти распространенные и финансово разрушительные киберпресс.
Source: Sparkkitty Trojan крадет данные крипто -кошелька с телефонов
