Новая мобильная угроза SparkKitty: вредоносное ПО для Android и iPhone, крадущее личные данные и криптовалюту

Новая мобильная угроза SparkKitty: вредоносное ПО для Android и iPhone, крадущее личные данные и криптовалюту Thumbnail

Опасный новый вирус для смартфонов: что такое SparkKitty?

В мире кибербезопасности постоянно появляются новые угрозы, и злоумышленники не останавливаются в своих попытках получить доступ к личной информации пользователей. Недавно специалисты обнаружили новую вредоносную программу под названием SparkKitty, которая направлена как на владельцев устройств Android, так и iPhone. Этот мощный мобильный вирус способен сканировать личные фотографии и использовать их для кражи важных данных, таких как фразы для восстановления криптовалютных кошельков и другие конфиденциальные сведения.

Истоки и развитие угрозы

Обнаруженная командой экспертов из компании по кибербезопасности Касперский, SparkKitty является продолжением предыдущей кампании под названием SparkCat, которая использовала технологию оптического распознавания символов (OCR) для извлечения конфиденциальной информации из изображений. Однако новая версия значительно превосходит своего предшественника, расширяя возможности слежки и кражи данных.

Как работает SparkKitty?

Масштабное захватывание изображений

В отличие от SparkCat, который фокусировался на конкретных данных, SparkKitty безразборчиво собирает все фотографии с зараженного устройства. Это значит, что злоумышленники получают доступ не только к криптовалютным кошелькам, но и к личным фотографиям, документам и другим чувствительным файлам. Основное внимание уделяется фразам для восстановления криптовалют, но злоумышленники могут использовать изображения для шантажа или иных целей.

Методы внедрения и распространения

Зараженные приложения были распространены через официальные и неофициальные платформы, включая Google Play и App Store. В частности, в магазинах появились такие приложения, как «币coin» для iOS и «SOEX» для Android, которые после удаления с магазинов продолжали циркулировать в сети. Приложение SOEX, являющееся мессенджером с функциями работы с криптовалютой, скачали более 10 000 пользователей перед его удалением.

Технологии внедрения и скрытность

На устройствах iOS SparkKitty внедряется через поддельные компоненты программных фреймворков или корпоративные профили, маскируясь под легитимные программы. После установки оно автоматически активируется и начинает мониторинг фотогалереи, анализируя внутренние файлы для определения необходимости запуска.

Для устройств на Android вредоносное ПО скрывается внутри приложений, написанных на Java или Kotlin, иногда использует опасные модули Xposed или LSPosed. После запуска или при открытии определенного экрана, SparkKitty загружает конфигурационный файл с удаленного сервера и начинает передачу изображений, метаданных и уникальных идентификаторов устройства.

Что делает SparkKitty особенным?

В отличие от обычных шпионских программ, SparkKitty концентрируется именно на фотографиях, содержащих важные данные: фразы для криптокошельков, скриншоты кошельков, удостоверения личности или другие конфиденциальные документы. Вредоносная программа загружает фотографии пакетами, что значительно облегчает анализ и извлечение ценной информации злоумышленниками.

Советы по защите от мобильных угроз

  • Выбирайте проверенных разработчиков: избегайте загрузки приложений с малым количеством отзывов или скачиваний. Перед установкой всегда проверяйте имя и репутацию разработчика.
  • Контролируйте разрешения приложений: внимательно относитесь к запросам доступа к личным данным, фото или сообщениям. Если что-то кажется подозрительным, отклоните разрешение или удалите приложение.
  • Обновляйте устройство своевременно: устанавливайте системные и программные обновления сразу после выхода новых версий. Это помогает закрывать уязвимости, которые могут использовать злоумышленники.
  • Используйте антивирусное ПО: надежная антивирусная программа — ваш лучший щит против вредоносных программ. Рекомендуется выбирать проверенные решения для Windows, Mac, Android и iOS.

Что было сделано для устранения угрозы?

После появления информации о SparkKitty, обе крупные платформы — Apple и Google — оперативно удалили подозрительные приложения из своих магазинов. Однако остаются вопросы о том, как вредоносное ПО смогло пройти проверку и попасть в магазины в первую очередь. В условиях роста объема и сложности приложений в магазинах необходимо совершенствовать системы их проверки, чтобы такие угрозы не проходили незамеченными в будущем.

Артем Мельник

Артем Мельник

Артем — эксперт по ИТ и новым технологиям, освещает стартапы, кибербезопасность и разработки украинских программистов. Ранее работал в сфере разработки ПО.

Расскажите друзьям