SparkKitty Trojan атакует пользователей мобильных устройств: кросс-платформенная угроза для криптовалют и личных данных

По данным исследования Kaspersky Lab, SparkKitty является эволюцией более ранней кампании SparkCat, но отличается более агрессивным подходом. Если SparkCat избирательно искал определенные изображения с помощью оптического распознавания символов (OCR), то SparkKitty выгружает все содержимое галереи, значительно повышая риски утечки конфиденциальных данных. Среди потенциальных жертв - не только владельцы криптовалют, но и пользователи, хранящие в галерее сканы документов, финансовые выписки или другие персональные файлы.

Распространение троянца происходит через легитимные приложения, замаскированные под полезные сервисы. Например, на Android зловред был обнаружен в мессенджере SOEX, который также предоставлял функции торговли криптовалютой. До удаления из Google Play приложение скачали более 10 000 раз. На iOS вредонос внедрялся в поддельные библиотеки, такие как AFNetworking, или распространялся через эмуляцию корпоративных профилей разработчиков, что позволяло обходить проверки App Store. Один из таких случаев - приложение 币coin, позиционирующееся как трекер криптовалют.

Техническая реализация SparkKitty варьируется в зависимости от платформы, но сохраняет общие черты. На iOS заражение начинается с автоматической загрузки кода через Objective-C, использующего метод "+[AFImageDownloader load]". После проверки наличия определенного ключа в Info.plist происходит расшифровка конфигурации с помощью AES-256, после чего троянец получает доступ к галерее и передает изображения на удаленный сервер через API-эндпоинт «/api/putImages». На Android вредонос активируется при запуске приложения или определенных действиях пользователя, запрашивает разрешения на доступ к хранилищу и аналогично выгружает файлы.

Особую опасность представляет инфраструктура SparkKitty, включающая облачные сервисы AWS S3 и Alibaba OSS для хранения вредоносных модулей. Это усложняет борьбу с угрозой, поскольку злоумышленники могут быстро менять серверы и обходить блокировки. Кроме того, троянец ведет журнал загруженных изображений, чтобы избежать дублирования и оперативно реагировать на новые файлы в галерее.

Анализ зараженных приложений показывает, что злоумышленники целенаправленно выбирают тематики с высокой вовлеченностью пользователей: криптовалюты, азартные игры, модификации популярных соцсетей (например, взломанные версии TikTok). Это повышает шансы на успешное заражение, так как подобные приложения часто скачиваются из ненадежных источников.

Эксперты рекомендуют пользователям избегать хранения чувствительных данных в галерее, особенно скриншотов с сид-фразами или паролями. Также важно скачивать приложения только из официальных магазинов, несмотря на то, что SparkKitty доказал возможность проникновения даже в такие защищенные экосистемы, как Google Play и App Store. Дополнительные меры безопасности включают регулярную проверку разрешений приложений и использование антивирусных решений с функцией сканирования на предмет вредоносного кода.

SHA256

• 17b71715aba2d00c6791b6c72d275af4fc63d56870abe6035ba70eac03b2e810
• 1d2e41beb37e9502d1b81775a53a6e498842daed93fe19cdcd4cbd2a7228d12d
• 21879ce5a61e47e5c968004d4eebd24505e29056139cebc3fe1c5dd80c6f184f
• 381570757ecd56c99434ff799b90c2513227035c98d2b9602ae0bb8d210cac4c
• 75a8d1ea41d9b4a9ac45f521f7c8422858bfc1c14d5ba85c16d08fbd1c61b96c
• 7ffb912d9c120e97d3b052b576d15d4ccdb28e3b017cdd26695465fed4348d1e
• 94297b685a5659647a3c021e82e2fd62e5ae607b242b8289669cfee8d5cc79e3
• cf3ab3313a315a265fe5627e4b41b418ff7d62ad649f433b85198ff07f14907d