11,6 тыс подписчиков

Шпионская кампания SparkCat угрожает безопасности криптокошельков

24 июня 202524 июн 2025

4 мин

Исследователи безопасности обнаружили новую волну активности вредоносного программного обеспечения, получившего название SparkCat. Кампания специализируется на краже данных, связанных с криптовалютными кошельками, путем внедрения шпионских компонентов в легитимные приложения, распространяемые через официальные магазины Google Play и App Store. Вредоносное ПО запускается при взаимодействии пользователя с экраном чата службы поддержки и запрашивает доступ к галерее устройства. Далее с помощью системы оптического распознавания символов (OCR) оно анализирует изображения, особенно те, что содержат начальные фразы для криптокошельков. Такой подход позволяет выборочно извлекать конфиденциальные данные без явного вмешательства пользователя. С февраля 2024 года исследователи фиксируют постоянное использование компонента распознавания текста и выборочную кражу изображений в новых версиях SparkCat. Отдельно стоит упомянуть модифицированные приложения TikTok, адаптированные под обе платформы. Они

Оглавление

В январе 2025 года выявлена масштабная шпионская кампания SparkCat, нацеленная на криптовалютные кошельки
Механизм работы вредоносного ПО
Особенности новых вариантов и методы обхода защиты

В январе 2025 года выявлена масштабная шпионская кампания SparkCat, нацеленная на криптовалютные кошельки

Исследователи безопасности обнаружили новую волну активности вредоносного программного обеспечения, получившего название SparkCat. Кампания специализируется на краже данных, связанных с криптовалютными кошельками, путем внедрения шпионских компонентов в легитимные приложения, распространяемые через официальные магазины Google Play и App Store.

Механизм работы вредоносного ПО

Вредоносное ПО запускается при взаимодействии пользователя с экраном чата службы поддержки и запрашивает доступ к галерее устройства. Далее с помощью системы оптического распознавания символов (OCR) оно анализирует изображения, особенно те, что содержат начальные фразы для криптокошельков. Такой подход позволяет выборочно извлекать конфиденциальные данные без явного вмешательства пользователя.

Совместимость со смартфонами на платформах iOS и Android.
Кампания эволюционировала, в официальных магазинах приложений обнаружены новые варианты вредоносных программ.
На iOS вредоносное ПО маскируется под популярные фреймворки (AFNetworking, Alamofire) и библиотеки (libswiftDarwin.dylib).
Для Android разработаны версии как на Java, так и на Kotlin, с использованием модулей Xposed.

Особенности новых вариантов и методы обхода защиты

С февраля 2024 года исследователи фиксируют постоянное использование компонента распознавания текста и выборочную кражу изображений в новых версиях SparkCat. Отдельно стоит упомянуть модифицированные приложения TikTok, адаптированные под обе платформы. Они обходят ограничения App Store через корпоративные профили, вызывая необычные запросы на доступ к фотогалерее — поведение, нехарактерное для оригинального клиента.

Анализ встроенных библиотек показал, что вредоносные версии представляют собой модифицированные копии надежных библиотек, в которых использованы функции Objective-C для скрытого выполнения вредоносного кода без изменения экспортируемых символов. Это даёт шпионам возможность незаметно получить доступ к пользовательским фотографиям, особенно тем, что содержат конфиденциальную информацию о криптокошельках.

Архитектура шпионского ПО

Шпионское ПО SparkCat состоит из двух ключевых этапов:

Проверка файла конфигурации для подтверждения авторизации взаимодействия с серверами управления (C2).
Поиск и загрузка изображений из галереи пользователя с последующей отправкой информации через серию связанных запросов GET и PUT.

Такой двухэтапный процесс обеспечивает эффективное и скрытное извлечение данных, существенно усложняя их обнаружение и блокировку.

Распространение через мошеннические сайты и PWA

Помимо официальных магазинов приложений, были обнаружены мошеннические страницы, предлагающие вредоносные приложения в формате progressive web app (PWA). Эти Android-приложения тоже используют OCR — с помощью Google ML Kit для фильтрации фотографий на заражённых устройствах, что подтверждает нацеленность кампании на контент, связанный с криптовалютой.

Географический фокус и потенциальные угрозы

Хотя основное внимание уделяется фотографиям, главная цель вредоносного ПО остаётся частично загадочной. Однако совпадение методов распространения и целевой аудитории указывает на согласованные усилия по сбору конфиденциальной информации, преимущественно ориентированной на пользователей из Юго-Восточной Азии и Китая.

В конечном итоге, кампания SparkCat является серьёзной угрозой для пользователей мобильных устройств и подчёркивает уязвимости экосистемы распространения приложений, в частности риски, связанные с тем, что официальные магазины приложений могут служить каналами для внедрения вредоносного ПО.

Основные выводы

SparkCat нацеливается на пользователей криптовалютных кошельков через шпионские методы и скрытое извлечение данных из фотогалерей.
Вредоносное ПО работает на обеих популярных мобильных платформах (iOS и Android), применяя сложные методы маскировки и обхода защит.
Использование доверенных библиотек с модификациями и корпоративных профилей – новая тактика для обхода ограничений магазинов приложений.
Распространение продолжается через официальные каналы и мошеннические PWA, что усложняет защиту конечных пользователей.
Географический фокус кампании включает Юго-Восточную Азию и Китай, что требует усиленного мониторинга и локальных мер противодействия.

В свете этих событий пользователям рекомендуется строго контролировать доступ приложений к галерее и внимательно отслеживать обновления и источники загрузки программного обеспечения.

Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.

Ознакомиться подробнее с отчетом можно по ссылке.

Оригинал публикации на сайте CISOCLUB: "Шпионская кампания SparkCat угрожает безопасности криптокошельков".

Гаджеты и электроника

5,73 млн интересуются