Компания Kaspersky, занимающаяся кибербезопасностью, предупредила об обнаруженном вредоносном ПО под названием SparkKitty, которое крадет фотографии с зараженных устройств в надежде найти seed-фразы криптокошельков.
Аналитики Kaspersky, Сергей Пузан и Дмитрий Калинин, сообщили в отчете за понедельник, что SparkKitty нацелено как на устройства iOS, так и на Android, проникая в некоторые приложения в Apple App Store и Google Play.
После заражения устройства вредоносное программное обеспечение без разбора крадет все изображения в фотогалерее.
“Хотя мы подозреваем, что основная цель злоумышленников — найти скриншоты seed-фраз криптокошельков, другие конфиденциальные данные также могут присутствовать на украденных изображениях.”
Вредоносные приложения с крипто-тематикой
Два приложения, используемые для распространения вредоносного ПО, обнаруженные Kaspersky, были сфокусированы на криптовалютах. Одно из них, известное как 币coin, позиционирующее себя как трекер криптовалютной информации, было представлено в App Store.
Второе — SOEX, мессенджер с “функциями крипто-обмена” в Google Play.
“Это приложение было загружено в Google Play и установлено более 10 000 раз. Мы сообщили об этом Google, и они удалили приложение из магазина”, — заявили Пузан и Калинин.
Представитель Google подтвердил Cointelegraph, что приложение было удалено из Google Play, а разработчик заблокирован.
“Пользователи Android автоматически защищены от этого приложения независимо от источника загрузки благодаря Google Play Protect, который по умолчанию включен на устройствах Android с Google Play Services”, — сообщил представитель.
Аналитики Kaspersky также обнаружили, что SparkKitty распространяется через казино-приложения, игры для взрослых и вредоносные клоны TikTok.
Младший брат SparkCat
Вредоносное ПО похоже на SparkCat, которое было обнаружено в ходе расследования Kaspersky в январе. Оно сканирует фотографии пользователей в поисках фраз восстановления криптокошельков.
Обе версии вредоносного ПО, вероятно, исходят из одного источника, утверждают Пузан и Калинин, поскольку они имеют схожие функции и включают аналогичные пути к файлам с систем злоумышленников.
“Хотя эта кампания технически и концептуально несложна, она продолжается как минимум с начала 2024 года и представляет значительную угрозу для пользователей”, — заявили Пузан и Калинин.
“В отличие от ранее обнаруженного шпионского ПО SparkCat, это вредоносное ПО не разборчиво в отношении того, какие фотографии оно крадет из галереи.”
Юго-Восточная Азия и Китай – основные цели
Основными целями этой вредоносной кампании являются пользователи в Юго-Восточной Азии и Китае, основываясь на результатах Kaspersky, поскольку зараженные приложения включают различные китайские азартные игры, TikTok и игры для взрослых.
“Судя по источникам распространения, это шпионское ПО в первую очередь нацелено на пользователей в Юго-Восточной Азии и Китае”, — заявили Пузан и Калинин.
“Однако оно не имеет каких-либо технических ограничений, которые могли бы помешать ему атаковать пользователей в других регионах”, — добавили они.
