Image by James Yerema, from Unsplash
Nowy szpiegujący program „SparkKitty” atakuje portfele kryptowalut poprzez App Store i Google Play
Przeczytasz w: 3 min
Ostatnia aktualizacja: Jun 25, 2025
-
![Kiara Fabbri]()
-
![Zespół ds. lokalizacji i tłumaczenia]()
Tłumaczenie Zespół ds. lokalizacji i tłumaczenia Usługi związane z tłumaczeniem i lokalizacją treści
Badacze bezpieczeństwa zidentyfikowali nowe oprogramowanie szpiegowskie o nazwie SparkKitty, które kradnie zdjęcia ze smartfonów, aby uzyskać dostęp do portfeli kryptowalut
W pośpiechu? Oto najważniejsze fakty:
- Malware przebiera się za zmodyfikowane popularne aplikacje, takie jak TikTok na iOS i Android.
- Używa OCR do wyszukiwania fraz kluczy do portfeli kryptowalutowych na skradzionych obrazach.
- Aktywny od lutego 2024 roku, rozprzestrzenia się poprzez oficjalne i nieoficjalne sklepy z aplikacjami.
Oprogramowanie szpiegowskie, które po raz pierwszy zgłosił Kaspersky, wydaje się być powiązane z poprzednim rodzajem złośliwego oprogramowania znanym jako SparkCat. Zainfekowało kilka aplikacji zarówno w App Store, jak i Google Play, chociaż niektóre z nich już usunięto.
Badacze wyjaśniają, że SparkKitty rozpowszechnia fałszywe aplikacje, które naśladują znane platformy, w tym TikTok. Po zainstalowaniu, złośliwe aplikacje proszą o dostęp do galerii zdjęć użytkownika.
Niektóre wersje kradną wszystkie obrazy, podczas gdy inne używają technologii rozpoznawania znaków (OCR) do skanowania fraz-ziaren portfeli kryptowalutowych, które są unikalnymi kodami umożliwiającymi dostęp do walut cyfrowych.
Na iPhone’ach, złośliwe oprogramowanie ukryte jest w fałszywych frameworkach, które naśladują prawdziwe, takie jak AFNetworking czy Alamofire. Na urządzeniach z Androidem, szpiegowskie oprogramowanie wbudowuje się jako złośliwe moduły w aplikacje, zwłaszcza te związane z komunikacją czy kryptowalutami.
Kaspersky wyjaśnia, że kampania rozpoczęła swoją działalność w lutym 2024 roku i rozprzestrzeniła się zarówno przez nieautoryzowane sklepy z aplikacjami, jak i oficjalne kanały dystrybucji. Pierwsze wykrycie złośliwego oprogramowania nastąpiło za pośrednictwem fałszywych aplikacji TikTok, które przekierowywały użytkowników do fałszywego sklepu internetowego o nazwie „TikToki Mall”, który akceptował płatności w kryptowalutach.
Użytkownicy, którzy korzystali ze strony za pośrednictwem swoich iPhone’ów, zobaczyli fałszywe strony App Store, które wprowadziły ich w błąd i skłoniły do instalacji zainfekowanych aplikacji. Hakerzy również nadużywali Programu Deweloperskiego Apple dla Przedsiębiorstw do dystrybucji swojego złośliwego oprogramowania, omijając regularne zabezpieczenia App Store.
Po zainfekowaniu, aplikacja sprawdza kody aktywacji, kontaktuje się z zdalnym serwerem w celu otrzymania instrukcji i przesyła skradzione zdjęcia na serwery kontrolowane przez hakerów.
Badacze informują, że fałszywa aplikacja do komunikacji z włączoną funkcją krypto została pobrana ponad 10 000 razy, zanim badacze z dziedziny bezpieczeństwa odkryli jej złośliwą naturę.
Większość ofiar znajduje się w Azji Południowo-Wschodniej i Chinach, a wiele zainfekowanych aplikacji zawiera treści związane z hazardem lub dla dorosłych. Jednakże, oprogramowanie szpiegujące może być skierowane do użytkowników na całym świecie. SparkKitty dzieli techniczne cechy z SparkCat, co sugeruje bezpośrednie powiązanie między dwiema kampaniami.
Aby zapewnić sobie ochronę, użytkownicy powinni unikać sklepów z aplikacjami innych firm, starannie sprawdzać uprawnienia aplikacji i aktualizować swoje urządzenia. Nawet zdjęcia niezwiązane z kryptowalutą mogą być zagrożone przez ten ciągły atak szkodliwego oprogramowania.
Poprzedni artykuł
Najnowsze artykuły 
