Nova varijanta mobilnog špijunskog softvera, nazvana SparkKitty, infiltrirala se u Appleovu App Store i Google Play, predstavljajući se kao aplikacije vezane za kriptovalute i modifikovane aplikacije kako bi prikriveno izvukla slike fraza za oporavak (seed phrases) i akreditiva novčanika.
Ovaj zlonamjerni softver izgleda predstavlja nasljednika SparkCat kampanje, prvi put otkrivene početkom 2025. godine, koja je koristila lažne module za podršku ćaskanja kako bi neprimjetno pristupila korisničkim galerijama i ukrala osjetljive snimke ekrana.
SparkKitty ovu strategiju podiže nekoliko stepenica dalje, kako su naveli istraživači Kasperskyja u objavi od ponedjeljka.
Za razliku od SparkCat-a, koji se uglavnom širio putem nezvaničnih Android paketa, SparkKitty je potvrđen unutar više iOS i Android aplikacija dostupnih putem zvaničnih prodavnica, uključujući aplikaciju za razmjenu poruka sa funkcijama kripto mjenjačnice (sa preko 10.000 instalacija na Google Play) i iOS aplikaciju nazvanu “币coin”, prerušenu kao portfolio tracker.
U srcu iOS varijante nalazi se naoružana verzija AFNetworking ili Alamofire frameworka, gdje su napadači ugradili prilagođenu klasu koja se automatski pokreće prilikom pokretanja aplikacije koristeći Objective-C-jev +load selector.
Pri pokretanju, provjerava skrivenu konfiguracijsku vrijednost, dohvaća adresu komandno-kontrolnog servera (C2) i skenira korisničku galeriju te počinje učitavati slike. C2 adresa nalaže zlonamjernom softveru šta treba da radi, kao što je kada da ukrade podatke ili pošalje datoteke, te prima ukradene informacije nazad.
Android varijanta koristi modifikovane Java biblioteke kako bi postigla isti cilj. Optičko prepoznavanje karaktera (OCR) se primjenjuje putem Google ML Kita za analizu slika. Ako se otkrije fraza za oporavak ili privatni ključ, datoteka se označava i šalje na servere napadača.
Instalacija na iOS vrši se putem profila za upravljanje preduzećima, ili metodom namijenjenom za interne preduzetničke aplikacije, ali koja se često zloupotrebljava za zlonamjerni softver.
Žrtve se navode da ručno povjere certifikat programera povezan sa “SINOPEC SABIC Tianjin Petrochemical Co. Ltd.”, dajući SparkKitty-ju dozvole na nivou sistema.
Nekoliko C2 adresa koristilo je AES-256 enkripcijski šifrovane konfiguracijske datoteke hostovane na zamaglenim serverima.
Nakon dešifrovanja, one ukazuju na servere za preuzimanje tereta (payload fetchers) i krajnje tačke, kao što su /api/putImages i /api/getImageStatus, gdje aplikacija određuje da li će učitati ili odgoditi prijenos fotografija.
Istraživači Kasperskyja otkrili su druge verzije zlonamjernog softvera koje koriste lažnu OpenSSL biblioteku (libcrypto.dylib) sa zamagljenom logikom inicijalizacije, što ukazuje na alatke koje se razvijaju i višestruke vektore distribucije.
Dok većina aplikacija cilja korisnike u Kini i jugoistočnoj Aziji, ništa u vezi sa zlonamjernim softverom ne ograničava njegov regionalni opseg.
Apple i Google uklonili su dotične aplikacije nakon prijave, ali je kampanja vjerovatno aktivna od početka 2024. godine i možda je još uvijek u toku putem varijanti učitanih sa strane i kloniranih prodavnica, upozorili su istraživači.
