Wyrafinowany nowy trojan, złowieszczo nazwany „Sparkkitty”, stał się znaczącym zagrożeniem dla użytkowników smartfonów, aktywnie odpychając poufne dane, które mogą ułatwić wyczerpanie portfeli kryptowalut. Firma cyberbezpieczeństwa, Kaspersky, ujawniła szczegóły tego wszechobecnego złośliwego oprogramowania w kompleksowym raporcie opublikowanym we wtorek, podkreślając jego podstępny charakter i powszechny zasięg.
Podstępna infiltracja Sparkkitty osiąga się poprzez osadzanie się w różnych pozornie nieszkodliwych zastosowaniach. Należą do nich aplikacje pozornie związane z handlem kryptowalutami, różnymi platformami hazardowymi, a nawet zmodyfikowanymi iteracji popularnych aplikacji społecznościowych, takich jak Tiktok. To szerokie spektrum kanałów dystrybucji pozwala złośliwemu oprogramowaniu rzucić szeroką sieć, usidlając niczego niepodejrzewających użytkowników, którzy pobierają te zagrożone aplikacje.
Wektor infekcji Sparkkitty wykorzystuje przede wszystkim zwodnicze profile rezerwowe. Profile te, zwykle stosowane do legalnych celów, takich jak uruchamianie aplikacji iOS lub zmodyfikowane wersje istniejących aplikacji, są uzbrojeni przez atakujących w celu zainstalowania złośliwego oprogramowania na urządzeniu użytkownika. Po zainstalowaniu Sparkkitty natychmiast ustanawia ustanowienie swojego przyczółka, podstępnie żądając dostępu do galerii zdjęć urządzenia. Jego sposób operacyjny operandi polega na starannym monitorowaniu wszelkich zmian w galerii, skrupulatnie tworząc lokalną bazę danych skradzionych obrazów, a następnie przesłanie tych zdjęć do zdalnego serwera kontrolowanego przez atakujących.
Analiza Kaspersky’ego zdecydowanie sugeruje specyficzny cel o wysokiej wartości dla sprawców stojących za Sparkkitty: „Podejrzewamy głównym celem atakujących jest znalezienie zrzutów ekranu fraz nasion w portfelu kryptograficznym”. Hipoteza ta podkreśla znaczącą motywację finansową napędzającą tworzenie złośliwego oprogramowania, ponieważ frazy nasion stanowią ostateczny klucz do odblokowania i dostępu do kryptowalut użytkownika. Zdolność do wyeliminowania tych kluczowych informacji zapewnia napastników pełny i nieskrępowany dostęp do aktywów cyfrowych ofiary.
Podczas gdy obecne główne cele Sparkkitty są skoncentrowane w Chinach i Azji Południowo -Wschodniej, Kaspersky wydał wyraźne ostrzeżenie dotyczące jego potencjału globalnego proliferacji. Firma podkreśliła, że „nie było nic, aby powstrzymać go przed rozprzestrzenianiem się na inne regiony”, wskazując nieodłączną zdolność adaptacyjną i skalowalność złośliwego oprogramowania. Rodzi to obawy dla użytkowników smartfonów na całym świecie, którzy wkrótce mogą stać się podatne na to wyrafinowane zagrożenie.
Implikacje finansowe takich ataków infrastrukturalnych są znaczne. TRM Labs, w swoim kompleksowym raporcie z 2024 r., Szacował, że oszałamiające prawie 70% z kryptowaluty o wartości 2,2 miliarda dolarów zostały skradzione w poprzednim roku, było przypisane atakom infrastruktury. Ataki te, zwłaszcza te obejmujące nielegalne nabycie prywatnych kluczy i fraz nasion, podkreślają lukratywny charakter ukierunkowania na dane dotyczące aktywów cyfrowych. Złośliwe oprogramowanie, takie jak Sparkkitty, bezpośrednio przyczynia się do tego alarmującego trendu, umożliwiając atakującym do wykorzystania danych z zainfekowanych urządzeń do systematycznego wyszukiwania i naruszenia cennych poświadczeń portfela.
Dalsza analiza ekspertów ds. Bezpieczeństwa cybernetycznego sugeruje silny związek między Sparkkitty a wcześniej zidentyfikowaną kampanią oprogramowania szpiegowskim znaną jako Sparkcat. Sparkcat, po raz pierwszy odkryty w styczniu 2025 r., Wykazał podobne cechy, wykorzystując złośliwe zestawy rozwoju oprogramowania (SDK) w celu uzyskania nieautoryzowanego dostępu do zdjęć użytkowników na różnych urządzeniach. Podczas gdy podejście Sparkcata zostało bardziej udoskonalone, skupiając swoje możliwości oprogramowania szpiegującego na identyfikacji obrazów zawierających frazy nasion poprzez zastosowanie technologii rozpoznawania znaków optycznych (OCR), Sparkkitty przyjmuje bardziej bezkrytyczną, brutalną metodę. „Bezkrytycznie przesyła zdjęcia, prawdopodobnie do późniejszego przetworzenia”, co sugeruje dalszą analizę eksfiltrowanych obrazów dla cennych informacji, w tym potencjalnych fraz nasion.
Wszechobecny charakter Sparkkitty jest dodatkowo podkreślony przez jego potwierdzoną obecność w obu głównych mobilnych systemach operacyjnych. Został wykryty w aplikacjach dostępnych zarówno w sklepach z Androidem, jak i iOS, często przebranym za legalne narzędzia o tematyce kryptowalut lub jako zmodyfikowane wersje popularnych aplikacji społecznościowych, takich jak Tiktok. Ta kompatybilność międzyplatformowa znacznie poszerza potencjalną pulę ofiar i zwiększa profil zagrożenia.
Sparkkitty nie jest odizolowanym incydentem, ale raczej dołącza do rosnącego panteonu złośliwego oprogramowania i trojanów, które w ostatnich latach zyskały znaczną przyczepność wśród cyberprzestępców. Ten ewoluujący krajobraz cyfrowych zagrożeń podkreśla rosnące wyrafinowanie i dywersyfikację ataków mających na celu wykorzystanie rozwijającego się ekosystemu kryptowalut.
Wśród tych godnych uwagi zagrożeń znajduje się makaron z kradzieży informacji, który został odkryty w narzędzia sztucznej inteligencji (AI) dostępne do pobrania online. Ta oportunistyczna strategia wykorzystuje rosnące zainteresowanie i szybkie przyjęcie technologii sztucznej inteligencji, aby usidlić niczego nie podejrzewających użytkowników. Hakerzy skrupulatnie konstruują przekonujące witryny AI, które następnie mocno reklamują na różnych platformach mediów społecznościowych, aby przyciągnąć ofiary. Po pobraniu te pozornie uzasadnione narzędzia AI stają się przewodami dla złośliwego oprogramowania makaronowego, zagrażając danych użytkownika.
Globalna walka z takimi cyberprzestępstwami niedawno odniosła znaczące zwycięstwo w maju, kiedy międzynarodowy wysiłek organów ścigania z powodzeniem ukierunkował kluczową infrastrukturę związaną z dystrybucją kolejnego silnego szczepu złośliwego oprogramowania znanego jako LUMMAC2. LUMMAC2 wiąże się z zadziwiającymi 1,7 milionami prób kradzieży, koncentrujących się przede wszystkim na kradzieży poświadczeń logowania, w tym tych niezbędnych do dostępu do portfeli kryptowalut. Skoordynowane działania przeciwko infrastrukturze LummaC2 podkreślają trwające, wspólne wysiłki globalnych władz w celu rozbicia sieci, które ułatwiają te wszechobecne i niszczące finansowo cyberprzestępstwa.
Source: Trojan Sparkkitty kradnie dane portfela kryptograficznego z telefonów
