Kaspersky Labs zidentyfikowało zaawansowaną kampanię złośliwego oprogramowania, która celuje w użytkowników kryptowalut za pomocą złośliwych zestawów SDK osadzonych w aplikacjach mobilnych dostępnych w Google Play i App Store. Nazwana "SparkCat", to złośliwe oprogramowanie wykorzystuje optyczne rozpoznawanie znaków do skanowania zdjęć użytkowników w poszukiwaniu fraz odzyskiwania portfeli kryptowalut, które hakerzy następnie wykorzystują do uzyskania dostępu i wyczerpania dotkniętych portfeli.
W kompleksowym raporcie datowanym na 4 lutego 2025 roku, badacze Kaspersky'ego, Sergey Puzan i Dmitry Kalinin, szczegółowo opisali, jak złośliwe oprogramowanie SparkCat infiltruje urządzenia i przeszukuje obrazy w poszukiwaniu fraz odzyskiwania poprzez wielojęzyczne wykrywanie słów kluczowych. Gdy te frazy zostaną uzyskane, napastnicy zyskują nieograniczony dostęp do portfeli kryptowalutowych ofiar. Hakerzy w ten sposób osiągają pełną kontrolę nad funduszami, co podkreślają badacze.
Ponadto, złośliwe oprogramowanie zostało zaprojektowane w celu kradzenia dodatkowych wrażliwych informacji, takich jak hasła i prywatne wiadomości przechwycone w zrzutach ekranu. Szczególnie na urządzeniach z Androidem, SparkCat maskuje się jako moduł analityczny oparty na Javie o nazwie Spark. Złośliwe oprogramowanie otrzymuje aktualizacje operacyjne z zaszyfrowanego pliku konfiguracyjnego na GitLab i wykorzystuje Google ML Kit OCR do wyodrębniania tekstu z obrazów na zainfekowanych urządzeniach. Wykrycie frazy odzyskiwania skutkuje wysłaniem informacji z powrotem do atakujących, co pozwala im zaimportować portfel kryptowalutowy ofiary na swoje urządzenia.
Kaspersky szacuje, że od momentu pojawienia się w marcu 2023 roku, SparkCat został pobrany około 242 000 razy, głównie wpływając na użytkowników w Europie i Azji.
W oddzielnym, ale powiązanym raporcie z połowy 2024 roku, Kaspersky monitoruje inną kampanię złośliwego oprogramowania na Androida, która obejmuje oszukańcze pliki APK, takie jak Tria Stealer, które przechwytują wiadomości SMS i dzienniki połączeń oraz kradną dane z Gmaila.
Obecność tego złośliwego oprogramowania obejmuje liczne aplikacje, z których niektóre wydają się być legitymne, jak usługi dostawy jedzenia, a inne są zaprojektowane w celu przyciągnięcia nieostrożnych użytkowników, takie jak aplikacje do wiadomości wspierane przez AI. Wspólne cechy wśród tych zainfekowanych aplikacji obejmują użycie języka programowania Rust, możliwości wieloplatformowe i zaawansowane metody obfuskacji, aby unikać wykrycia.
Pochodzenie SparkCat pozostaje niejasne. Badacze nie przypisali złośliwego oprogramowania żadnej znanej grupie hakerskiej, ale zauważyli komentarze w języku chińskim i komunikaty o błędach w kodzie, co sugeruje biegłość w chińskim u dewelopera. Chociaż dzieli podobieństwa z kampanią ujawnioną przez ESET w marcu 2023 roku, jej dokładne źródło pozostaje nieznane.
Kaspersky zdecydowanie odradza użytkownikom przechowywanie wrażliwych informacji, takich jak frazy odzyskiwania portfeli kryptowalut, w swoich galeriach zdjęć. Zamiast tego zaleca korzystanie z menedżerów haseł oraz regularne skanowanie i usuwanie podejrzanych aplikacji.
Wyniki zostały pierwotnie zgłoszone na 99Bitcoins w artykule zatytułowanym "Złośliwe SDK na Google Play i App Store kradną frazy odzyskiwania kryptowalut: Kaspersky."
