Nova varijanta mobilnog špijunskog softvera, nazvana SparkKitty, infiltrirala se u Apple-ovu App Store i Google Play, prerušena kao aplikacije vezane za kriptovalute i modifikovane aplikacije kako bi potajno izvukla slike ključnih fraza (seed phrases) i podatke o novčaniku.
Ovaj zlonamjerni softver izgleda kao nasljednik SparkCat kampanje, koja je prvi put otkrivena početkom 2025. godine, a koristila je lažne module za ćaskanje za podršku kako bi tiho pristupala korisničkim galerijama i eksfiltrirala osjetljive snimke ekrana.
SparkKitty podiže istu strategiju nekoliko koraka dalje, kako su naveli istraživači kompanije Kaspersky u objavi od ponedjeljka.
Za razliku od SparkCat-a, koji se uglavnom širio putem neoficijelnih Android paketa, potvrđeno je da se SparkKitty nalazi u više iOS i Android aplikacija dostupnih u zvaničnim prodavnicama, uključujući aplikaciju za razmjenu poruka sa funkcijama kripto mjenjačnice (sa preko 10.000 instalacija na Google Play-u) i iOS aplikaciju pod nazivom “币coin”, maskiranu kao alat za praćenje portfolija.
Srž iOS varijante predstavlja naoružana verzija AFNetworking ili Alamofire okvira, gdje su napadači ugradili prilagođenu klasu koja se automatski pokreće pri pokretanju aplikacije koristeći Objective-C +load selektor.
Pri pokretanju, provjerava skrivenu konfiguracijsku vrijednost, preuzima adresu komandno-kontrolnog (C2) servera, skenira korisničku galeriju i počinje da učitava slike. C2 adresa nalaže zlonamjernom softveru šta da radi, kao što je kada da ukrade podatke ili pošalje datoteke, i prima ukradene informacije nazad.
Android varijanta koristi modifikovane Java biblioteke kako bi postigla isti cilj. OCR se primjenjuje putem Google ML Kit za analizu slika. Ako se otkrije ključna fraza ili privatni ključ, datoteka se označava i šalje na servere napadača.
Instalacija na iOS se vrši putem profila za obezbjeđivanje preduzeća (enterprise provisioning profiles), ili metode namijenjene internim korporativnim aplikacijama, ali se često zloupotrebljava za zlonamjerni softver.
Žrtve se navode da ručno povjeruju sertifikatu programera povezanom sa “SINOPEC SABIC Tianjin Petrochemical Co. Ltd.”, čime se SparkKitty-u dodjeljuju dozvole na sistemskom nivou.
Nekoliko C2 adresa koristilo je AES-256 enkripcijski šifrovane konfiguracione datoteke hostovane na obskurnim serverima.
Nakon dešifrovanja, ukazuju na preuzimače tereta i krajnje tačke, kao što su /api/putImages i /api/getImageStatus, gdje aplikacija određuje da li će učitati ili odgoditi prijenos fotografija.
Istraživači kompanije Kaspersky otkrili su i druge verzije zlonamjernog softvera koje koriste lažnu OpenSSL biblioteku (libcrypto.dylib) sa obskurnom inicijalizacionom logikom, što ukazuje na evoluirajući set alata i višestruke vektore distribucije.
Iako se čini da su većina aplikacija usmjerene na korisnike u Kini i jugoistočnoj Aziji, ništa u vezi sa zlonamjernim softverom ne ograničava njegov regionalni opseg.
Apple i Google su uklonili dotične aplikacije nakon prijave, ali kampanja je vjerovatno aktivna od početka 2024. godine i možda je još uvijek u toku putem bočno učitanih varijanti i prodavnica klonova, upozorili su istraživači.
